La loi du 25 novembre 2018 portant des dispositions diverses relatives au Registre national et aux registres de population instaure l’obligation de faire figurer nos empreintes digitales sur notre carte d’identité.
Cette loi impose que ces données biométriques soient collectées et stockées en masse. Pour ce faire, lors de la création de la carte d’identité, nos empreintes digitales sont temporairement conservées par les services du Registre national.
Des risques de piratage des puces des cartes d'identité
Selon une étude de la KULeuven, en moyenne, les empreintes digitales de 225 000 citoyen·e·s sont en permanence stockées de manière centralisée. Nos empreintes digitales sont ensuite stockées sur la puce de la carte d’identité. La puce peut être lue, sans contact, donc à distance, par la police pour vérifier l’authenticité de la carte d’identité ou l’identité d’une personne.
L’étude de la KULeuven nous apprend également que la sécurité de la puce est insuffisante pour empêcher la lecture frauduleuse des données biométriques. D’une part, nous ne sommes pas nécessairement informé·e·s de quand et par qui est lue notre carte d’identité, il existe par conséquent un risque que des personnes mal intentionnées lisent les informations sur la puce sans que nous le sachions. D’autre part, la puce qui contient une copie littérale de l’empreinte digitale complète pourrait potentiellement être piratée. Les conséquences du vol ou de l’utilisation frauduleuse de données biométriques seraient difficilement réparables.
Selon le législateur, le stockage des empreintes digitales est nécessaire pour prévenir la fraude à l’identité. Les autorités belges et européennes chargées de la protection des données ne sont manifestement pas du même avis. Elles soulignent en effet que l’usurpation d’identité peut être combattue de manière adéquate avec d’autres données de sécurité, comme la photo d’identité figurant sur chaque pièce d’identité. Le choix par le législateur de recourir à des techniques d’entreposage non sécurisées facilite la fraude à l’identité, plutôt que d’y remédier.
Un appétit croissant des autorités pour nos données personnelles
En adoptant cette mesure disproportionnée, la loi expose l’ensemble de la population à un risque inacceptable d’abus de données personnelles alors que ce type de fraude est en réalité un phénomène très limité. L’impact et les dangers de cette loi n’ont par ailleurs jamais fait l’objet d’une enquête préalable.
La loi contestée s’ajoute à une longue liste qui témoigne de l’appétit croissant des autorités pour nos informations à caractère personnel. Or, il est peu probable que ce genre de mesures contribue à rendre notre société plus sûre. La technologie et la collecte d’informations exigent beaucoup d’argent et de personnel. Plus nous recueillons d’informations, plus nous avons besoin de les traiter. La grande majorité des renseignements recueillis concernent des citoyen·ne·s qui ne posent aucun risque pour la sécurité. Les ressources et les effectifs qui doivent être déployés pour traiter ces informations ne peuvent donc pas l’être ailleurs. L’accent mis sur la surveillance occulte d’autres menaces qui mériteraient une surveillance accrue.
La Liga voor Mensenrechten et la Ligue des Droits Humains introduisent un recours dans l’espoir d’obtenir une modification de la loi et lancent un appel à un débat approfondi sur l’utilité et l’efficacité d’une politique de sécurité qui témoigne d’une croyance irrationnelle dans les bienfaits du traitement massif de données de tous les citoyen·ne·s, sans exception.
Signataires :
Liga voor Mensenrechten et Ligue des Droits Humains
13 juin 2019