La Tunisie envisage de créer une carte d’identité nationale biométrique. Qu’est-ce que c’est concrètement et quels sont les enjeux pour la vie privée? Voici une étude comparative.
Qu’est-ce qu’une carte biométrique?
Dernièrement, les gouvernements veulent intégrer les nouvelles technologies dans l’émission de documents officiels (comme la carte d’identité ou le passeport) de leurs citoyens, officiellement dans le but de lutter contre l’usurpation d’identité, le vol ou la falsification de ces documents. De ce fait, la création de nouvelles cartes biométriques est à la mode. Celles-ci enregistrent dans une puce unique toutes les informations à caractère personnel et serait en théorie cryptées, donc protégées par les sociétés qui s’occupent de gérer ces informations personnelles très vulnérables. Ces informations personnelles seront stockées chez des développeurs privés employés par ces gouvernements. La question alors se pose sur les conditions de stockage de ces données personnelles et surtout leur hypothétique utilisation en dehors de leur fonction principale. Qui conserve vraiment ces données? Y a-t-il des réglementations gouvernementales sur le stockage et l’utilisation de ces données? Les citoyens savent-ils où sont leurs données et par qui elles sont exploitées? Les citoyens ont-ils vraiment accès aux informations stockées dans la carte?
Certains pays ont également voulu se lancer dans des projets de développement de carte d’identité nationale biométrique. Prenons en exemple des pays faisant partie de la région MENA (Moyen-Orient, Afrique du Nord) qui sont par la culture mais aussi économique comparable à la Tunisie: nous allons voir jusqu’où ces projets de carte biométrique ont été mené, ce qui nous aidera à comprendre comment et pourquoi ces façons de gérer des systèmes de documents d’identités ont été imposées.
Maroc
En 2009, la Direction Générale de la Sûreté Nationale du Royaume du Maroc a mis en place une Carte Nationale d’Identité Electronique (CNIE) qui “permet à tout citoyen de justifier son identité et sa nationalité marocaine, elle est obligatoire à l’âge de 18 ans et d’une durée de validité de 10 ans”. Cette carte peut réunir dans une même puce plusieurs informations et documents à caractère personnel: le certificat de naissance, le certificat de résidence, le certificat de vie et le certificat de nationalité. Le nouveau système devrait inclure des données biométriques en plus des données personnelles, comme notamment les empreintes digitales. Le groupe Thales a été employé pour créer ces cartes.
La même année, la Direction Nationale de Sûreté Générale a lancé un nouveau passeport biométrique correspondant aux les nouvelles normes de sécurité en ce qui concerne les documents de voyage et de contrôle de migration, conformément aux recommandations de l’Organisation de Coopération et de Développement Economique (OCDE) et l’Organisation de l’Aviation Civile Internationale (OACI).
Par ailleurs, le Maroc prétend aller encore plus loin dans la sécurisation des flux migratoires en se dotant d’un système qui permet hypothétiquement de contrôler tous les passagers voyageant par avion, bateaux, train ou bus. Ce système appelé “dossiers de passagers” a déjà été mis en place par la France et l’Union Européenne; aux détriments des libertés fondamentales des voyageurs. A travers tous ces contrôles, le gouvernement ne veut pas simplement collecter des documents écrits (comme les certificats de naissance par exemple), mais il cherche aussi activement à forcer les migrants à se soumettre au processus de reconnaissance faciale et à scanner leurs empreintes digitales. Théoriquement, le groupe privé allemand Veridos serait alors la seule autre entitée, avec les autorités marocaines, à avoir l’accès aux données personnelles des voyageurs. Ces derniers n’ont généralement pas accès à leurs propres données, et il n’existe pas de lois protégeant ces données pour les migrants.
Algérie
De même que son voisin le Maroc, en 2016 l’Algérie s’est dotée d’une carte d’identité biométrique et d’un passeport biométrique afin de (officiellement) lutter contre l’usurpation d’identité et la falsification des documents officiels. Cette carte, qui été développée principalement par le groupe franco-néerlandais Gemalto, comporte le nom du citoyen, le sexe, mais aussi le certificat de naissance et la nationalité. Comme une carte d’identité régulière, elle est obligatoire et les données liées à la carte d’identité sont confidentielles et ne peuvent être consultées que par le détenteur de la carte et les autorités gouvernementales compétentes. Le problème ici se trouve dans la centralisation de la base de données, qui pourrait éventuellement être sujet à des abus par les autorités ou être attaquée par des tierces personnes comme des hackers. De plus, des faiblesses éventuelles dans la technologie développée et dans la sécurité des infrastructures pourrait provoquer des fuites de ces données. Ces données sont d’ailleurs stockées non pas en Algérie comme le voudrait la loi, mais dans d’autres pays comme la France, les Pays-bas ou l’Allemagne. Il est important de noter que la carte nationale d’identité algérienne n’est pas seulement développée par Gemalto, mais aussi par Giesecke et Devrient (GND), ce qui veut dire qu’il existe plusieurs ramifications de sécurité entre les compagnies. Cette situation accroît alors les risques d’être sujet à des attaques de cyber-criminelles.
Il existe aussi un passeport biométrique, pour lequel Gemalto a, là aussi, été employé pour son développement, qui permet aux citoyens algériens de pouvoir voyager dans certains pays où seul le passeport biométrique est accepté. Ces passeports sont notamment important pour l’obtention de visas, en particulier vers l’espace Schengen.
Koweït
En 2009, le Koweït s’est également doté d’une carte biométrique, comportant tous les documents officiels mentionnés dans le cas du Maroc et de l’Algérie. Gemalto a encore une fois obtenu le marché grâce à l’offre d’appel lancé par le Public Authority For Civil Information du Koweït, sous la tutelle d’une entreprise koweïtienne nommé Al-Kharafi, qui gère ce programme national. Le Koweït a voulu opter cette stratégie pour s’aligner avec les réglementations de libre-circulation entre les pays membres du Conseil de coopérations des Etats arabes du Golfe. Cette carte d’identité servirait donc non-seulement comme pièce d’identité pour les citoyens koweïtiens mais aussi comme document de voyage dans la région.
Selon Gemalto, cette carte permettrait entre-autres “d’avoir l’accès aux services d’Etat en ligne, mais aussi de pouvoir faire des transactions financières de manière simple et sécurisé”. Cette carte pourrait d’ailleurs être transformée en une carte microprocesseur. Celle-ci serait de la taille d’une carte de crédit, elle contiendrait une petite puce électronique qui pourrait traiter et stocker des milliers de bits de données électroniques. Contrairement aux cartes mémoires, qui ne peuvent que stocker des informations, la carte microprocesseur a son propre système d’opération pouvant traiter des données en fonction d’une situation bien précise. Elle est petite et elle est également capable d’interagir avec des ordinateurs et d’autres systèmes automatisés; les données qu’elle contient peuvent d’ailleurs être mise à jour instantanément. Il va sans dire que ce système de carte pourrait être plus qu’une menace pour les libertés individuelles des citoyens koweïtiens si cette puce n’est pas efficacement sécurisée et surtout régulée par la loi.
Tunisie
Le 5 août 2016, un projet de loi de remplacement des carte d’identité actuelle par celles biométriques a été soumis à l’Assemblée tunisienne. Ce projet de loi porte à confusion par son manque de détails concernant le possible contenu de la carte, le manque d’information sur les entités par qui elle va être exploitée et même développée. Plus important encore, les raisons qui justifieraient pourquoi cette carte est si essentielle aux tunisiens manquent. La société civile tunisienne est déjà sur le qui vive et critique fortement cette CIN qui pourrait porter atteinte aux libertés individuelles des citoyens mais aussi créer des coûts énormes aux frais du contribuables, alors que les caisses de l’Etat sont déjà sous pression.
De plus, la loi tunisienne sur la protection des données personnelles de ces citoyens indique que “toute personne a le droit à la protection des données à caractère personnel relatives à sa vie privée comme étant l’un des droits fondamentaux garantis par la constitution et ne peuvent être traitées que dans le cadre de la transparence, la loyauté et le respect de la dignité humaine et conformément aux dispositions de la présente loi,” (Loi organique n°2004-63 du 27 juillet 2004, portant sur la protections des données à caractère personnel). Cette carte en elle-même pourrait alors constituer une possible infraction sérieuses aux droits fondamentaux des citoyens tunisiens et en engendrer d’autres.
Conclusion
Selon les gouvernements, la carte biométrique constituerait un moyen sécurisé de centraliser dans une même base les données privées et sensibles de leurs citoyens. Mais c’est cette même centralisation, ainsi que les entités en charge du traitement de ces données, qui posent problème pour les droits fondamentaux et les libertés. Cette carte correspond presque à un phénomène de mode, puisque tous les pays en voie de développements sont, l’un après l’autre, en train de l’adopter pour des raisons commerciales et au détriment des peuples. Les lois concernant la collection et l’accès aux données personnelles doivent être respectées, ou le cas échéant, développées afin de pouvoir contrer les challenges liés aux risques de divulgation de données personnelles.