Posted by Spécificités du Traitement des données biométriques à des fins d’identification et d’authentification
Adoption par la loi de finance rectificative 2022 de la Carte Vitale Biométrique
Eléonore Scaramozzino, Avocate, Partenaire de Constellation Avocats
La « Carte Vitale biométrique », introduite lors de l’examen du texte au Sénat, a été adoptée dans le cadre de la loi de finance rectificative 2022 par le Parlement le 4 août 2022. La loi de finances rectificative pour 2022 prévoit un budget de 20 millions d’euros pour les travaux de lancement de ce dispositif de prévention, visant à réduire le nombre de carte surnuméraires et la fraude sociale. Pour rappel, la carte vitale biométrique avait été proposée et adoptée par le Sénat en première lecture, le 19 novembre 2019, mais l’Assemblée nationale, avait rejeté ce projet.
La carte vitale biométrique vise à lutter contre la fraude aux prestations sociales strictement imputable aux bénéficiaires. Elle se limite à la fraude aux prestations d’assurance maladie en obtention des droits, et donc par l’utilisation d’un titre (comme la carte Vitale) permettant la délivrance ou le remboursement de prestations d’assurance maladie sans en être bénéficiaire. Cependant, cette mesure soulève de nombreuses interrogations, notamment au regard de la réception de cette mesure par les professionnels de santé, la protection des données biométriques et son articulation avec l’application Carte Vitale (ap CV).
Les spécificités du traitement des données biométriques
Le recours aux données biométriques à des fins d’identification
La « biométrie » désigne l’ensemble des techniques de reconnaissance physique ou biologique des individus. Grâce à la performance croissante des systèmes informatisés, la technologie biométrique est capable d’identifier un individu parmi plusieurs millions avec certitude via l’exploitation de données telles que les empreintes digitales, la morphologie du visage, les empreintes génétiques ou encore la reconnaissance de l’iris. Ces techniques sont essentiellement utilisées à des fins d’identification et d’authentification des individus.
En France, le passeport biométrique a été créé en 2008 (Décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques) en application de la législation européenne ( Règlement (CE) n° 2252/2004 du Conseil du 13 décembre 2004 établissant des normes pour les éléments de sécurité et les éléments biométriques intégrés dans les passeports et les documents de voyage délivrés par les États membres, modifié par le règlement (CE) n° 444/2009 du 28 mai 2009).
La biométrie est également utilisée pour identifier et authentifier des ressortissants étrangers, via la délivrance de visas biométriques aux personnes voyageant en France depuis 2015 et dans le cadre du système européen de contrôle et de comparaison des empreintes digitales des demandeurs d’asile et des étrangers « eurodac ».)
Le Règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation, prévoit que « les cartes d’identité intègrent un support de stockage hautement sécurisé qui contient une image faciale du titulaire de la carte et deux empreintes digitales dans des formats numériques interopérables (art 3.5)». L’Union estime en effet que « le stockage d’une image faciale et de deux empreintes digitales sur les cartes d’identité et les cartes de séjour, comme cela est déjà prévu pour les passeports et titres de séjour biométriques des ressortissants de pays tiers, combine de manière appropriée une identification et une authentification fiables avec une réduction du risque de fraude » et que, « de manière générale, les États membres devraient, aux fins de la vérification de l’authenticité du document et de l’identité du titulaire, vérifier en priorité l’image faciale et, si nécessaire pour confirmer sans aucun doute l’authenticité du document et l’identité du titulaire, les États membres devraient également vérifier les empreintes digitales ». Cette obligation d’enregistrement des empreintes digitales ne sera pas applicable aux enfants de moins de 12 ans et facultatif pour les enfants de moins de 16 ans, selon des modalités identiques à la titularité de la carte Vitale en France.
L’encadrement réglementaire du Traitement des données biométriques
Le recours à la biométrie pour garantir l’identité du bénéficiaire et du détenteur de la carte vitale soulève des questions au regard de la protection des données à caractère personnel. Le traitement des données biométriques doit être conforme aux dispositions du Règlement n° 2016/679 [1] relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, (RGPD) et de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (LIL). Les données biométriques constituent une catégorie particulière de données à caractère personnel, au sens de l’article 4.14) du RGPD. Elles sont définies comme étant «les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques “. Lorsque les données ne sont pas traitées en vue de l’identification unique de personnes mais que cela est toutefois possible, compte tenu de la nature des données, il s’agira donc également d’un traitement de données biométriques au sens du RGPD. » Les données biométriques sont classées en tant que données à caractère personnel dès lors qu’elles sont traitées selon un mode technique spécifique permettant l’identification ou l’authentification unique d’une personne physique. Une telle conclusion est conforme à l’article 4.1) du RGPD d’où il découle que la notion de données à caractère personnel se rapporte uniquement à une personne physique identifiée ou identifiable.
Elles sont hautement personnelles et (quasi) permanentes, dès lors une fuite de données peut avoir de graves conséquences à long terme. Le traitement de données biométriques est interdit, selon les dispositions de l’article 9.1 du RGPD, sauf si ce traitement peut être fondé sur une exception de l’article 9.2 et une base juridique de l’article 6 du RGPD.
Spécificité d’un système biométrique
Identification : L’inscription est le moment où une caractéristique biométrique de la personne concernée est collectée et enregistrée sur un support pour stocker des informations. Ces informations de référence seront la donnée biométrique brute (empreinte digitale) dans le but de vérifier ou d’établir l’identité d’un individu (un gabarit). En principe, au cours de la première phase de collecte, les données biométriques brutes doivent être converties en gabarits. Après quoi, les données brutes doivent immédiatement être supprimées. Le gabarit est enregistré sous une forme exploitable dans une base de données des gabarits sous maîtrise exclusive du responsable du traitement. Le gabarit biométrique doit être crypté conformément à l’état des connaissances.
L’authentification : L’individu montre à nouveau ses caractéristiques biométriques au système qui doit l’authentifier. À ce moment, un deuxième échantillon biométrique est prélevé (une personne tient par exemple son doigt devant le capteur) et ces informations sont ensuite comparées aux informations de référence (la donnée brute ou le gabarit) pour vérifier si elles correspondent. Si les informations collectées au cours de la deuxième collecte correspondent aux informations de référence (association positive), le système considère que la personne qui se présente est celle qui a été enregistrée préalablement lors de la phase d’inscription. Chaque système biométrique fonctionne à l’aide d’un seuil prédéfini, qui indique le point auquel le système estime que les informations obtenues lors de la deuxième phase de collecte correspondent suffisamment aux informations de référence.
Intérêt public important
Les données biométriques ne peuvent être traitées que lorsque ce “traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée” (art 9.2, g du RGPD). Un responsable du traitement ne peut s’appuyer sur des motifs d’intérêt public important que dans la mesure où le droit de l’Union ou le droit d’un État membre reconnaît explicitement ces intérêts et autorise le traitement de données biométriques dans ce cadre. Par ailleurs, le recours à des données biométriques à des fins d’authentification doit respecter le principe de proportionnalité. En effet, conformément à l’article 5.1.c) du RGPD, les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées. Le traitement de données à caractère personnel ne peut donc avoir lieu que dans la mesure où les finalités du traitement ne peuvent raisonnablement pas être atteintes d’une autre manière. Si le responsable du traitement peut démontrer que le traitement de données biométriques constitue le moyen le plus approprié pour garantir la sécurité, il devra également documenter et justifier l’utilisation d’une caractéristique biométrique déterminée.
Dans son projet de loi de 2019, le Sénat avait proposé de lutter contre la fraude aux prestations d’assurance maladie de sécurité sociale en remplacement de la carte vitale actuelle (art L 161-31 CSS), l’adoption d’une carte vitale biométrique, intégrant l’image numérisée des empreintes digitales du titulaire. Cependant, comme l’a souligné la Commission des affaires sociales du Sénat dans son rapport, cette fraude à la carte Vitale ne représente qu’un montant faiblement significatif. Le coût de la mise en œuvre de ce dispositif de prévention permettant de réduire le nombre de cartes surnuméraires et la fraude sociale, apparait disproportionné par rapport au montant de la fraude (estimation à 6 Md€ selon la majorité sénatoriale). La proposition de loi initiale avait dès lors été modifiée en expérimentation sur le ressort d’un nombre limité de caisses de sécurité sociale.
Sécurité des traitements biométriques : adaptée au risque
Le RGPD prévoit une approche fondée sur les risques. Ainsi le responsable de traitement doit adopter des mesures de sécurité, adaptées au niveau de risque identifié (gravité et probabilité) pour les droits et libertés des personnes physiques (article 5.1.f) et article 32 du RGPD). Le responsable du traitement devra effectuer, avant le traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données à caractère personnel (art 35.1 du RGPD). Au vu du risque inhérent élevé pour les droits et libertés des personnes concernées qu’implique le traitement de données biométriques, ne pas réaliser une analyse d’impact relative à la protection des données ne sera justifié que dans des cas exceptionnels.
De telles mesures peuvent notamment comprendre des :
a. Des mesures relatives aux données biométriques :
▪ crypter les données biométriques, y compris les gabarits, à l’aide d’un algorithme cryptographique conformément à l’état des connaissances ;
▪ associer un code d’intégrité aux données biométriques (par exemple avec une signature électronique) ;
▪ intégrer des mesures de détection de fraude ;
▪ interdire l’accès externe aux données biométriques ;
▪ veiller à ce que la copie des données collectées au cours de la phase de collecte ne soit pas conservée plus longtemps que le temps nécessaire à la comparaison des données collectées avec les informations de référence ;
▪ mettre en œuvre un système efficace pour la suppression et la destruction des données biométriques après échéance du délai de conservation ;
b. Des mesures organisationnelles :
▪ délimiter clairement et former les personnes au sein d’une entreprise qui ont accès aux systèmes/données biométriques ;
▪ responsabiliser les personnes concernées quant à l’utilisation et à l’application de systèmes biométriques ;
▪ mettre gratuitement à disposition des procédures d’authentification alternatives pour les personnes pour lesquelles l’enregistrement ou la lecture des données biométriques est impossible ou sérieusement compliqué(e) en raison d’un handicap ou d’une autre circonstance ;
▪ tester la sécurité, la fiabilité et la résilience du système avant la mise en œuvre et après toute modification ;
▪ définir un système de sauvegarde et des procédures de récupération en cas de défaillance du système ;
▪ définir une procédure visant à tester, à analyser et à évaluer régulièrement l’efficacité des mesures prises pour assurer la sécurité du traitement ;
c. Des mesures concernant le dispositif et le logiciel :
▪ tenir à jour les systèmes biométriques afin de les protéger contre un accès non autorisé et/ou de réduire les faux résultats négatifs/positifs (cela implique également qu’il relève de la responsabilité du responsable du traitement de vérifier que les modifications apportées par le concepteur du dispositif ou du logiciel ne compromettent pas la sécurité du système) ;
▪ prévoir une procédure d’avertissement ou la suppression automatique des données si le système constate un accès non autorisé (ou une tentative d’accès non autorisé) ;
▪ veiller à ce que les données biométriques soient enregistrées séparément et à ce que l’environnement d’exécution de l’application biométrique soit séparé des autres réseaux.
Dans ce cadre, il faut également adopter des mesures concernant la protection des données dès la conception (‘data protection by design’) et la protection des données par défaut (‘data protection by default’) (art 25 RGPD).
Proportionnalité du recours aux données biométriques
Le recours aux données biométriques est autorisé par décret en Conseil d’Etat. Il doit faire l’objet d’un avis de la Cnil. Il est soumis au contrôle du Conseil constitutionnel, qui veille à l’équilibre entre les finalités de l’usage des données biométriques et le droit à la vie privée. Le responsable de traitement devra justifier le caractère nécessaire et proportionné de la mesure par rapport aux finalités d’Intérêt public, ainsi que les mesures techniques et organisationnelles de sécurité prévues pour réduire les risques pour la protection des données et de la vie privée des personnes identifiés et justifier la durée de conservation de ces données. .
Dans sa délibération SAN-2021-016 du 24 septembre 2021, concernant le ministère de l’intérieur, la Cnil a notamment enjoint le Ministère de l’Intérieur de renforcer la sécurité de la connexion au FAED.
Le FAED, Fichier automatisé des empreintes digitales géré par le ministère de l’Intérieur (Décret n°87-249 du 8 avril 1987 relatif au fichier automatisé des empreintes digitales géré par le ministère de l’intérieur) sert à la recherche et à l’identification des auteurs de crimes et de délits, ainsi qu’à la poursuite, à l’instruction et au jugement des affaires criminelles et délictuelles dont l’autorité judiciaire est saisie. Il peut être utilisé pour faciliter la recherche de personnes disparues et l’identification de personnes décédées ou grièvement blessées. Enfin, il permet de vérifier l’identité de personnes retenues en application de l’article 78-3 du code de procédure pénale ou dans les conditions prévues par l’article L. 611-4 du code de l’entrée et du séjour des étrangers et du droit d’asile.
« La formation restreinte relève que, compte tenu des conséquences particulièrement graves que pourrait avoir un accès illégitime aux données du FAED, et compte tenu de la nécessité absolue d’une journalisation stricte des données que comprend le fichier, le fait de permettre la connexion au FAED par la simple combinaison d’un identifiant et d’un mot de passe ne peut être considéré comme une mesure appropriée pour garantir un niveau de sécurité adapté au risque. ». Pour la Cnil, cette méthode d’authentification est trop faible est constitue un manquement à l’article 99 de la Loi Informatique et Libertés. L’authentification forte à l’aide de la carte-agent unique et identifiante pour toute connexion au FAED est une mesure plus appropriée pour un traitement présentant une grande sensibilité.
Rôle des professionnels de santé et coût du système
En 2014, une proposition de loi similaire à celle proposée par le Sénat en 2019 fut rejetée car le système avait été jugé coûteux et difficile à mettre en œuvre. Inscrire des données biométriques sur la carte Vitale n’aura d’intérêt que si l’identité du patient est vérifiée au moment de l’utilisation de la carte afin d’éviter toute usurpation d’identité. L’introduction d’un élément biométrique au sein de la carte Vitale conduirait les professionnels de santé à se livrer à des opérations de contrôle plus rigoureuses que celles qu’ils exécutent aujourd’hui. Chacun des prescripteurs de soins ou de produits de santé qui sont récipiendaires de la carte disposent de terminaux permettant de vérifier la correspondance de la carte avec la personne qui la présente. Les professionnels de santé pourront ainsi s’assurer de l’identité du patient. Or, le contrôle des droits n’a pas vocation à entrer dans les missions du soignant. Par ailleurs, l’installation de lecteurs d’empreintes digitales dans tous les hôpitaux et cabinets de médecins représente un coût par rapport à ce qui est prévu par l’expérimentation apCV et pose la question de l’articulation avec le chantier de la e-carte Vitale.
Articulation Carte Vital Biométrique avec l’apCV : vers un nouveau marché public
La carte Vitale biométrique doit par ailleurs tenir compte du chantier de la carte vitale électronique (e-carte), mis en œuvre par le décret n° 2019-528 du 27 mai 2019 relatif à l’expérimentation d’une « e-carte d’assurance maladie ». Une application carte Vitale sur smartphone est en cours d’expérimentation en vue de renforcer la sécurisation des usages. Cette carte vitale dématérialisée n’est valable qu’auprès des professionnels de santé et établissements de santé participant à l’expérimentation. L’application « apCV » est téléchargeable depuis un smartphone ou une tablette. Elle permet l’identification et l’authentification numérique des usagers du système de santé et contient leur carte vitale et celles de leurs ayants-droits. Ces données sont conservées durant deux ans à compter de l’activation de la Carte Vitale dématérialisée. Elles seront ensuite détruites.
Le dispositif fait intervenir l’élément biométrique, mais limite son intervention au seul moment de l’enrôlement : le bénéficiaire est invité – et non contraint – à une identification biométrique lors de l’attribution de la carte, dont l’usage sera par la suite simplement conditionné à la présentation de son téléphone portable.
Le professionnel de santé devra s’équiper d’un lecteur NFC sur lequel l’utilisateur de l’application Carte vitale (apCV) posera son smartphone. Il pourra également choisir un lecteur permettant de lire le QR code affiché dans l’application. Le logiciel de facturation se connectera automatiquement au service de droits (ADRi) pour récupérer la situation administrative du patient. Le professionnel médical signera la feuille de soins électronique en ligne. Le patient recevra une information sur la dépense de soins directement sur son téléphone.
L’appli carte Vitale constitue aussi une porte d’entrée vers des services et fonctionnalités de l’Assurance Maladie, tels que la facturation SESAM-Vitale, l’accès aux téléservices intégrés Assurance Maladie obligatoire (AMO) et, pour les pharmaciens, au dossier pharmaceutique (DP). En plus des données d’identification de l’assuré et de ses bénéficiaires déjà présentes dans la carte Vitale physique, l’appli carte Vitale permet d’intégrer de nouvelles données : l’Identité Nationale de Santé (INS) et, à terme, les données des organismes complémentaires et mutuelle.
Par ailleurs, les nouveaux lecteurs de cartes vitales biométriques devraient conduire à un nouveau marché public, qui ne pourrait se substituer aux marchés publics en cours en raison de l’absence de cas de force majeure.
[1] Règlement n° 2016/679 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE