La CNIL avalise le passeport électronique et biométrique
Après une période de test en région parisienne, le passeport biométrique doté d’une puce sans contact (RFID) sera généralisé au printemps 2006 à toute la France. Comme indiqué préalablement, ce choix vient d’une décision américaine prise suite aux attentats du 11 septembre. Les Etats-Unis exigent ainsi, pour l’entrée sur leur territoire, la détention d’un tel passeport sécurisé. On trouve dans la puce en question la photo numérisée du porteur et à terme, les empreintes digitales en guise de seconde couche sécuritaire.
Ce véritable titre d’identité pourra bientôt être utilisé pour l’accomplissement de certaines formalités administratives ou commerciales, note-t-on. Puisque ce système jongle avec des données personnelles, le tout sous un traitement informatisé automatique, la Commission Nationale Informatique et Libertés devait obligatoirement être consultée pour avis. Ce qui a été fait et la Commission vient de publier sur son site son analyse de la question (avis daté du 22 novembre).
Avant de se pencher sur les risques d’atteintes aux libertés individuelles, la CNIL rappelle que ce passeport poursuit trois objectifs :
L’essentiel sera ici d’éviter la captation frauduleuse des données enregistrées dans la puce sans contact. « C’est la première fois que cette technologie sans contact est utilisée en France dans le cadre de documents d’identité » et la Commission veut jouer ici pleinement son rôle pour canaliser certains de ces risques. C’est d’autant plus vrai que le passeport RFID sera utilisé aussi bien dans les démarches administratives (démarches auprès des services de l’Etat, des collectivités territoriales ou des organismes de sécurité sociale) que dans le domaine privé (ouverture d’un compte bancaire).
Compte tenu des risques de captation frauduleuse des données liés à la technologie sans contact, la CNIL recommande hautement la mise en place de sécurités appropriées. Un contrat d'ores et déjà rempli : « les mesures techniques et les garde-fous juridiques présentés par le ministère de l’Intérieur sont de nature à garantir l’authentification, la confidentialité et l’intégrité des données enregistrées sur le composant électronique du passeport ». Et à titre d’illustration, « les données ne pourront être lues que si le passeport est présenté ouvert ; les échanges de données entre la puce et le lecteur seront cryptés ; le contenu de la puce sera limité aux informations figurant déjà sur le passeport. » L’on notera encore que seul un scanner possédant la clé d’authentification saura accéder aux données enfermées.
Comme nous l’indiquions, les craintes se concentrent surtout dans la gestion globale de ce parc de documents. Pour des raisons de sécurité, les passeports ne seront plus produits localement, mais de façon centralisée. « Un centre de personnalisation du passeport sera ainsi mis en place et confié à un sous-traitant » précise la Commission. Celle-ci se contente pour l’heure de prendre acte des garanties apportées par le ministère de l’Intérieur : « engagement contractuel du prestataire à préserver la sécurité des données traitées et à ne pas les utiliser à des fins détournées, conservation des données de production limitée à trois mois, contrôle du respect des mesures de sécurité exigées par le ministère » etc.
Néanmoins, la CNIL a réclamé un renforcement des mesures d’accès au fichier national des passeports et a demandé à être informée, dans un délai de trois mois, du renforcement des mesures dans l’accès au fichier national des passeports. Ce qui signifie à demi-mots que les mesures actuelles peuvent encore et toujours être améliorées. La Commission a encore souhaité qu’une personne soit désignée pour produire un bilan annuel sur les accès à ce fichier informatique. La CNIL a au final donné son aval au passeport biométrique, qui est donc prêt pour une production de masse.
Source : PC Inpact
Ce véritable titre d’identité pourra bientôt être utilisé pour l’accomplissement de certaines formalités administratives ou commerciales, note-t-on. Puisque ce système jongle avec des données personnelles, le tout sous un traitement informatisé automatique, la Commission Nationale Informatique et Libertés devait obligatoirement être consultée pour avis. Ce qui a été fait et la Commission vient de publier sur son site son analyse de la question (avis daté du 22 novembre).
Avant de se pencher sur les risques d’atteintes aux libertés individuelles, la CNIL rappelle que ce passeport poursuit trois objectifs :
- La prévention et la lutte contre la fraude documentaire, lutte accentuée par la mise en place de transmissions de données relatives aux passeports volés ou perdus vers le Système d’information Schengen et vers Interpol.
- La simplification de la vie quotidienne des administrés, puisque le document pourra être présenté lors de chaque démarche nécessitant la justification d’identité.
- La possibilité pour la police ou la gendarmerie, chargées de la prévention et de la répression du terrorisme, d’accéder au fichier national des passeports
L’essentiel sera ici d’éviter la captation frauduleuse des données enregistrées dans la puce sans contact. « C’est la première fois que cette technologie sans contact est utilisée en France dans le cadre de documents d’identité » et la Commission veut jouer ici pleinement son rôle pour canaliser certains de ces risques. C’est d’autant plus vrai que le passeport RFID sera utilisé aussi bien dans les démarches administratives (démarches auprès des services de l’Etat, des collectivités territoriales ou des organismes de sécurité sociale) que dans le domaine privé (ouverture d’un compte bancaire).
Compte tenu des risques de captation frauduleuse des données liés à la technologie sans contact, la CNIL recommande hautement la mise en place de sécurités appropriées. Un contrat d'ores et déjà rempli : « les mesures techniques et les garde-fous juridiques présentés par le ministère de l’Intérieur sont de nature à garantir l’authentification, la confidentialité et l’intégrité des données enregistrées sur le composant électronique du passeport ». Et à titre d’illustration, « les données ne pourront être lues que si le passeport est présenté ouvert ; les échanges de données entre la puce et le lecteur seront cryptés ; le contenu de la puce sera limité aux informations figurant déjà sur le passeport. » L’on notera encore que seul un scanner possédant la clé d’authentification saura accéder aux données enfermées.
Comme nous l’indiquions, les craintes se concentrent surtout dans la gestion globale de ce parc de documents. Pour des raisons de sécurité, les passeports ne seront plus produits localement, mais de façon centralisée. « Un centre de personnalisation du passeport sera ainsi mis en place et confié à un sous-traitant » précise la Commission. Celle-ci se contente pour l’heure de prendre acte des garanties apportées par le ministère de l’Intérieur : « engagement contractuel du prestataire à préserver la sécurité des données traitées et à ne pas les utiliser à des fins détournées, conservation des données de production limitée à trois mois, contrôle du respect des mesures de sécurité exigées par le ministère » etc.
Néanmoins, la CNIL a réclamé un renforcement des mesures d’accès au fichier national des passeports et a demandé à être informée, dans un délai de trois mois, du renforcement des mesures dans l’accès au fichier national des passeports. Ce qui signifie à demi-mots que les mesures actuelles peuvent encore et toujours être améliorées. La Commission a encore souhaité qu’une personne soit désignée pour produire un bilan annuel sur les accès à ce fichier informatique. La CNIL a au final donné son aval au passeport biométrique, qui est donc prêt pour une production de masse.
Source : PC Inpact