3-191 | 3-191 |
Mme Sfia Bouarfa (PS). - Deux ans après une première interpellation, je reviens sur les données biométriques contenues dans les nouveaux passeports belges et les risques d'atteinte à la vie privée. Il semblerait que mes craintes de l'époque soient aujourd'hui partagées par certains scientifiques. Les passeports qui utilisent la technologie de la puce RFID - Radio Frequency Identification - pourraient à long terme poser de sérieux problèmes en matière de protection de la vie privée.
Selon les professeurs Quisquater, de l'UCL, et Poullet, des Facultés universitaires de Namur, cette puce qui comprend tant des informations telles que l'identité, la signature et la photo, que des données biométriques comme les empreintes digitales, serait loin d'être suffisamment protégée pour éviter des atteintes à la vie privée. Ces scientifiques estiment que les passeports biométriques belges « ne sont pas sûrs et sont la porte ouverte à tous les piratages possibles. Le système de cryptage utilisé dans la technologie RFID est basique et ne présente pas suffisamment de garanties de sécurité ». Il faut surtout craindre une possibilité de traçabilité des personnes qui pourrait survenir à long terme ou encore le fait que certaines données biométriques pourraient se retrouver sur internet. Pour rappel, ce système de traçabilité est utilisé pour les animaux. Les deux professeurs s'appuient sur plusieurs documents qui attestent de la non-sécurité de cette technologie et notamment sur : « ce document émanant de la Smart Card Alliance, qui regroupe les fabricants de ce genre de puce. Ce document a été envoyé au président Bush, en lui expliquant que par l'introduction de cette technologie, cela allait amener plus d'insécurité ».
Au vu du risque de telles intrusions dans la sphère de la vie privée, je pense qu'une remise en question de ce système de puce utilisé sur nos passeports s'impose. À tout le moins, une étude approfondie ne devrait-elle pas être menée afin d'envisager un renforcement de la protection de ces données biométriques à caractère exclusivement personnel ?
Quelle est votre opinion et celle du ministre de l'Intérieur sur cette analyse ? Quelles mesures comptez-vous prendre ? Quelle est la position de la Commission de la protection de la vie privée ?
M. Karel De Gucht, ministre des Affaires étrangères. - Je déplore que les critiques formulées l'aient été sans qu'aucun contact préalable ait été pris avec les sources informées. De telles manifestations de la part de spécialistes ont pour effet de susciter le doute et l'inquiétude dans l'esprit du public et, accessoirement, d'assurer une certaine publicité à celui qui les formule. Des informations préalables auraient permis d'éviter de lancer un signal inadéquat.
En ce qui concerne la sécurité du passeport belge, je commencerai par rappeler que le document en question a été réalisé en conformité avec les spécifications techniques de l'OACI - Organisation de l'Aviation Civile Internationale - et de l'Union européenne, auxquelles tous les passeports électroniques européens doivent répondre.
Ces spécifications techniques ont été établies par des groupes de travail constitués de spécialistes de l'informatique et des questions de sécurité.
Ensuite, il existe une différence fondamentale entre l'usage qui peut être fait d'une puce électronique sans contact, destinée à assurer la traçabilité des bestiaux, et son application au passeport. En effet, il faut savoir qu'un passeport électronique n'est pas destiné à être lu « lors du passage à proximité d'une borne ». Bien au contraire, ce document doit être posé sur un lecteur installé généralement au contrôle frontière. En outre, les données contenues dans la puce sont protégées par deux sécurités : le Basic Access Control et l'Active Authentication.
La première sert à protéger les données contre la lecture à l'insu du titulaire (ou skimming). Son fonctionnement suppose que le passeport soit d'abord ouvert, que les données imprimées en page 2 dans les deux lignes de caractères OCR-B (que l'on appelle la zone lisible machine ou MRZ) soient lues pour enfin donner accès aux données de la puce.
L'Active Authentication a pour but de garantir que les données lues le sont au départ d'une puce authentique. Elle protège donc contre le clonage d'une puce. Cette sécurité repose sur une paire supplémentaire de clés (clé publique et clé privée). Je tiens d'ailleurs à souligner que cette mesure est une sécurité supplémentaire que la Belgique a volontairement ajoutée dans son passeport, bien qu'elle soit facultative. Le passeport belge est donc encore mieux protégé que les autres. J'estime par conséquent qu'il n'y a pas lieu de remettre en question le processus d'émission des passeports électroniques européens.
Mme Sfia Bouarfa (PS). - Je ne demande qu'à croire la réponse du ministre quant à la fiabilité de nos passeport et à la protection de la vie privée. Cependant, je ne peux partager son scepticisme à l'égard des scientifiques qui n'ont a priori aucune raison de dénoncer des failles dans nos passeports. J'estime donc que la Commission de la protection de la vie privée devrait se prononcer sur cette question après avoir entendu ces experts. Cela permettrait peut-être de conforter les propos rassurants que le ministre a tenus concernant notamment les deux systèmes de sécurité.
Selon le ministre, l'un de ces systèmes empêche la lecture des données à l'insu du titulaire du passeport. Cela veut-il dire qu'il est impossible de lire ces données sans employer un appareil de lecture dont l'usage serait réservé aux services de douane ou de police ?
M. Karel De Gucht, ministre des Affaires étrangères. - Je ne suis pas un technicien mais je pense que le passeport doit absolument être placé sur un lecteur.
Mme Sfia Bouarfa (PS). - Je ne demande qu'à être rassurée mais il semblerait que cette puce utilise le même système que celui qui est employé pour le comptage des bestiaux. Je n'ai aucune raison de douter des mises en garde adressées par les deux scientifiques et j'invite donc le ministre à les rencontrer et à commander un rapport à ce sujet à la Commission de la protection de la vie privée.