Les débats en cours
premier rang desquelles figurent le principe cardinal de finalité et le principe implicite de nos législations qui en est le corollaire : le principe de proportionnalité.
Principe de finalité et base de données
En réalité, le risque qu’une base de données de gabarits puisse être
détournée de sa finalité par ceux qui l’ont constituée ou, mise en œuvre est généralement très faible. Comme le soulignent les professionnels concernés, une base de
gabarits mise en place à des fins de contrôle d’accès ou d’authentification présente
assez peu d’intérêt : on ne peut pas, à partir du gabarit, reconstituer l’image de l’élément biométrique utilisé ; un élément biométrique est objectif et peu parlant, moins
en tout cas que d’autres informations de fond telles que les goûts d’une personne, son
taux d’endettement, ou sa nationalité.
Évidemment, le cas des bases de données centralisées à des fins policières
ou judiciaires est différent puisqu’y figurer est porteur d’une information. Un nom
associé à un gabarit d’ADN dans le fichier national des empreintes génétiques à fins
criminelles signifie forcément que la personne a été condamnée pour une infraction
grave ou est actuellement recherchée comme auteur supposé d’un crime ou d’un délit
sexuel. Pareillement, figurer dans le fichier national des empreintes digitales de la
police nationale signifie que la personne a été mise en cause dans le cadre d’une
procédure judiciaire. Ces seuls exemples donnent la mesure du critère fondamental
de la finalité.
Mais le risque d’un usage des bases de données biométriques à d’autres fins
que celles ayant justifié leur création est majeur lorsque l’élément biométrique fait
partie de ceux qui « laissent des traces ». Tel est le cas de l’ADN (un cheveu, de la
salive sur un mégot, etc.), de l’empreinte digitale qu’on laisse autour de soi dans toutes les circonstances de la vie, ainsi que des visages qui peuvent être captés par des
caméras de vidéosurveillance toujours plus nombreuses dans l’espace public et dans
l’espace privé. Une société qui favoriserait le développement de bases de données
d’empreintes digitales par exemple, offrirait des moyens considérables et nouveaux
— au moins dans l’ordre des « possibles » — d’investigations policières sans forcément qu’un tel objectif ait été initialement recherché. Non pas que les bases de données ainsi constituées l’auraient été à des fins policières mais parce que de telles
bases de données, apparemment tout à fait anodines, pourraient être utilisées par la
police comme élément de comparaison et de recherche dans le cadre de ses investigations.
Les concepteurs de systèmes font valoir sur ce point qu’une telle éventualité
est difficile à concevoir dans la mesure où chaque industriel utilise un gabarit qui lui
est spécifique et où les bases de données de gabarits d’empreintes peuvent être chiffrées. Mais de telles précautions n’écartent pas tout risque : en effet, les autorités policières sont habilitées à requérir le concepteur de la technologie de communiquer les
caractéristiques logicielles du gabarit utilisé ou les clés de déchiffrement de la base.
En outre, le fait que chaque base de données serait spécifique et ne concernerait
qu’un nombre trop limité de personnes pour être d’une quelconque utilité dans le
cadre de recherches policières d’envergure peut ne pas convaincre dans la mesure
où plusieurs industriels du secteur utilisent comme argument commercial
e
CNIL 22 rapport d'activité 2001
167