Le monde à l’envers quant aux données biométriques

Il n’y a pas si longtemps, la collecte des données biométriques était essentiellement l’affaire de la police et des prisons, et concernait presque seulement les criminels, ou encore les accusés et les suspects d’actes criminels. Il s’agissait d’amasser des données sur eux, afin de les identifier plus facilement et de protéger les autres personnes contre les crimes qu’ils pourraient commettre, par exemple des vols, des agressions à main armée, des meurtres ou des attentats terroristes.

Les empreintes digitales n’étaient généralement prises qu’après une arrestation ou une condamnation à une peine d’emprisonnement. Personne ou presque n’aurait eu idée de demander ou de donner ses empreintes digitales dans un contexte extra-judiciaire. Et même quand on a commencé, dans les années 2000, à utiliser des clés USB chiffrées dans un contexte professionnel, les employeurs demandaient de manière très formelle aux utilisateurs de consentir à leur fournir leurs empreintes digitales, en s’engageant pour leur part à ne pas utiliser ces données biométriques à d’autres fins, et à ne pas les transmettre à un tiers parti.

Même la prise de photographies – qui sont des données biométriques rudimentaires – n’étaient généralement pas prises à l’insu des personnes concernées ou en l’absence de leur consentement. Les seuls cas où cela arrivait, c’était après une arrestation, lors de la prise de photographies d’identité judiciaire (les « mugshots » en anglais). Ou bien c’était des policiers, ou plus rarement des détectives privés ou des membres des agents de renseignement, qui étaient autorisés à photographier à leur insu les personnes qu’ils surveillaient, toujours à des fins d’identification. Il était considéré comme invasif et incompatible avec la vie privée de photographier des inconnus sans avoir obtenu d’abord leur consentement, et encore plus de fournir ces photographies à un tiers parti pour constituer une banque de photographies ou alimenter des dossiers de personnes à surveiller. Dans certaines circonstances et à certains endroits, cela était même interdit.

De nos jours, alors que presque tous les Occidentaux ont constamment sur eux des téléphones mobiles qui leur permettent de prendre des photographies d’eux-mêmes ou des autres à n’importe quel moment, les choses ont changé du tout au tout. Si, pour l’instant, nous utilisons assez rarement ces gadgets pour photographier les autres sans leur consentement, il arrive beaucoup plus fréquemment que nous photographiions les personnes que nous connaissons bien, que nous nous laissions photographier par elles, et que nous nous photographiions nous-mêmes, pour ensuite publier ces photographies sur les réseaux sociaux et les rendre non seulement accessibles à nos « amis », mais aux compagnies qui contrôlent ces réseaux, et qui peuvent constituer une imposante banque de photographies utilisable à des fins de reconnaissance faciale, et susceptible d’être mise à la disposition des corps policiers, des agences de renseignements, ou d’une autre grand corporation. Il existe même des applications mobiles, accessibles à tout un chacun, qui permettent avec de bonnes chances de succès d’identifier les personnes que nous croisons dans la rue ou dans les transports en commun, en prenant subrepticement des photographies d’elles. Puisqu’on installe de plus en plus de caméras de surveillance, dans les rues, dans les lieux publics intérieurs, dans les milieux de travail et dans immeubles à logement, l’anonymat est en voie de disparition, s’il n’est pas déjà disparu. C’est comme si nous vivions dans une grande prison, où il serait très difficile de nous soustraire au regard de nos gardiens.

Cette transformation s’accélère depuis quelques années, puisque les gouvernements occidentaux, les institutions financières et médias de masse nous sensibilisent régulièrement aux risques de cybersécurité, et plus particulièrement aux risques de fraude et d’usurpation d’identité qui pourraient découler d’une faille de sécurité sur les ordinateurs et les téléphones mobiles que nous utilisons, ou d’un vol des données qu’ont accumulées à notre sujet les organismes gouvernementaux et les banques. Les corps policiers ayant abandonné depuis longtemps de mener des enquêtes sur la majorité de ces « cybercrimes », qu’on dit trop nombreux pour les effectifs policiers, c’est donc à nous que revient la responsabilité de nous protéger contre cette nouvelle forme de criminalité. Puisque ces criminels ne sont généralement pas arrêtés, il n’est pas question de collecter des données biométriques sur eux pour les identifier et pour nous protéger contre eux. Non, maintenant, il s’agirait au contraire d’utiliser nos propres données biométriques pour nous identifier et pour nous protéger contre ces criminels qui essaieraient de se faire passer pour nous, afin de voler nos données et notre argent, ou d’usurper notre identité. C’est ce que nous faisons quand nous utilisons nos empreintes digitales ou la reconnaissance faciale pour nous connecter à notre ordinateur ou ouvrir notre téléphone mobile. Et c’est que nous ferons quand nous nous mettrons à utiliser nos données biométriques pour nous identifier en ligne et y faire des transactions bancaires ou simplement des achats. C’est aussi ce qui arrivera quand l’authentification biométrique s’étendra peu à peu à ce que nous faisons dans le monde physique.

Bref, c’est le monde à l’envers : ce sont désormais les victimes potentielles d’actes criminels qui doivent s’identifier grâce à leurs données biométriques. Pour obtenir cette sécurité, peut-être illusoire, nous fournissons à de grandes corporations informatiques ces données. Car il serait naïf, étant donné les pratiques notoires de collecte de données ou d’espionnage de Microsoft, de Google et d’Apple, de croire que ces données ne quittent pas nos ordinateurs et nos téléphones mobiles, et ne sont pas collectées par ces grandes corporations, qui peuvent les utiliser à des fins de surveillance, ou les fournir à des corps policiers et des agences de renseignement, si bien que c’est nous qui sommes de plus en plus traités comme des criminels ou des suspects, et que nous sommes tous « fichés ». Je ne parle même pas de ce que nos banques, les entreprises spécialisées dans le commerce en ligne et nos gouvernements pourraient faire des données accumulées sur nous, quand l’authentification biométrique se généralisera, ou quand l’identité numérique devra être utilisée pour faire toutes sortes de choses, en ligne ou en personne, par exemple faire un achat en ligne ou dans un commerce, se connecter à internet, ouvrir la porte d’un édifice, utiliser les transports en commun, démarrer sa voiture ou entrer chez soi.

Voilà qui permettrait à nos gouvernements et aux grandes corporations qui contrôlent de plus en plus tout ce qui existe dans nos sociétés, d’exercer sur nous une surveillance policière ou même carcérale. De telles transformations n’auraient pas tant pour effet de nous protéger contre les cybercriminels, que de permettre à ces entités – dont il est légitime de nous demander si elles sont criminelles, considérant le peu de cas qu’elles font des constitutions et des lois de nos pays – de nous traiter comme des suspects, des criminels ou des prisonniers, avant même que nous ayons eu l’intention de commettre un crime, sans que nous ayons été accusés de quoi que ce soit, sans que nous ayons eu l’occasion de nous défendre devant un tribunal, et sans que celui-ci ait rendu un verdict de culpabilité. Par crainte des cybercriminels, nous nous mettrions à la merci des entités, qui pourraient devenir nos geôliers, en ligne ou dans le monde réel, si l’envie leur en prenait ; et qui pourraient utiliser les données biométriques dont ils disposent pour préparer des coups montés et nous attribuer, sans autre forme de procès, des actes répréhensibles que nous aurions commis. Non seulement ce serait marcher sur la tête, mais ce serait opter pour un mal pire que celui que nous voudrions éviter, sans être certains d’y parvenir.