Link Search Menu Expand Document
Boîte à outils gestion responsable de données

5.4 L'utilisation de la biométrie


TABLE DES MATIÈRES


À retenir

Les données biométriques sont des données personnelles sensibles qui nécessitent un réel consentement, et une sécurisation hors norme.

Le biométrique est généralement « impose » aux ONG pour des raisons d’efficience, d’intégrité et pour réduire le risque de fraude. Les systèmes posent néanmoins des questions éthiques importantes, que les ONG doivent se poser pour s’assurer que leurs programmes respectent le « Do no harm ». Elles ne peuvent donc fermer les yeux sur le sujet malgré sa complexité technologique.

Chercher à comprendre et décortiquer la « boite noire » associée est nécessaire, pour participer aux discussions permettant collectivement l’amélioration des systèmes.

Dans le cadre d’utilisation de biométrique dans du cash transfer, il est essentiel que les ONG soient très vigilantes sur la mise en place et le respect des accords de partage de données avec les fournisseurs de services.

L’usage de la biométrie est de plus en plus répandu dans le secteur humanitaire depuis une décennie, notamment pour identifier les personnes, leur donner accès à l’aide fournie, les autoriser à accéder à des services, et pour les transferts monétaires (cash).

Poussé par les bailleurs, agences onusiennes et gouvernements, comme l’indique The Engine Room dans une étude commissionnée par Oxfam en 2018 qui a fait date, ses avantages sont principalement “ d’identifier les personnes ciblées par l’assistance (identifiabilité et traçabilité), réduire la fraude et la duplication (précision et intégrité), et simplifier l’enregistrement et l’identification (simplicité et efficacité)”. Il reste néanmoins de nombreuses questions sur l’utilisation de la biométrie auxquelles les ONG doivent se confronter.

5.4.1 De quoi parle-t-on ?

Les données biométriques sont « des données à caractère personnel résultant d’un traitement spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment l’identification unique de cette personne, telles que (mais sans s’y limiter) les empreintes digitales, la reconnaissance de l’iris ou du visage par reconnaissance faciale » (Source : traduction de la définition existante dans la politique Oxfam sur le biométrique) « Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales, etc.) » (Source : CNIL). C’est pourquoi elles appartiennent à la catégorie des données personnelles sensibles et nécessitent à ce titre une protection plus forte.

Leur usage représente donc des enjeux et comporte des risques vis-à-vis des droits des populations auprès desquelles elles sont collectées. C’est d’autant plus le cas au vu des contextes ou elles sont le plus utilisées- généralement leur utilisation est effective sur les crises de grande ampleur, où la vulnérabilité des personnes concernées est souvent la plus marquée, et donc où le secteur doit être d’autant plus vigilant sur son utilisation.

L’exemple le plus marquant de mise en œuvre à grande échelle est le contexte des réfugié·es syrien·nes/palestinien·nes en Jordanie, comme présenté dans le rapport de l’ODI (ressource disponible seulement en anglais) et Humanitarian Policy Group disponible sur le site du réseau CALP dédié au programmes cash, où le scan d’iris est requis depuis une dizaine d’années à la fois par le ministère de l’intérieur jordanien et par l’UNHCR et le PAM pour l’accès à leurs services humanitaires.

5.4.2 Quels sont les enjeux ?

i. Les risques de l’utilisation des données biométriques

L’usage des données biométriques peut faire peser des risques sur les populations affectées, qui sont détaillés dans le rapport d’Oxfam et The Engine room sur l’utilisation des données biométriques dans le secteur humanitaire exposant également des exemples de cas concrets survenus (disponible seulement en anglais). Le document date un peu mais reste d’actualité sur de nombreux sujets, et avait eu lieu suite à un moratoire d’Oxfam sur la participation à des projets biométriques en attendant de mieux en connaitre les conséquences potentielles.

Voici les cinq risques principaux identifiés :

  • La fiabilité : la possibilité de fausses correspondances, c’est-à-dire une correspondance entre les données et une personne non reconnue ou inversement une mauvaise identification. Certaines technologies de reconnaissance faciale ont d’ailleurs pu créer et continuent à amplifier les discriminations (étude Gender Shades (ressource disponible seulement en anglais) par la chercheuse Joy Buolamwini en 2018 sur l’ampleur des biais de la technologie de l’IA)
  • Leur réutilisation : le partage et la réaffectation de ces données est accessible, laissant la possibilité au secteur privé, les Etats de les réutiliser pour d’autres raisons

Pour donner deux exemples très parlants :

  • les données biométriques des 800 000 réfugiés Rohingya apatrides transférées par le UNHCR au gouvernement du Bangladesh, qui les a lui-même transféré au gouvernement du Myanmar (voir cette étude de Human Rights Watch, seulement disponible en anglais)
  • la récupération de données biométriques de milliers de personnes afghanes (issue des systèmes de l’armée américaine) par le régime des Talibans en aout 2021, qui place ces personnes à risque d’être ciblées et de subir différents formes de répression (voir cet article de Human Rights Watch)
  • de nombreux abus de prestataires de services cash ont été relevés au fil des ans et des crises (par exemple, de croisement de bases de données pour retrouver des anciens clients avec des dettes et se « rembourser » sur leur aide financière humanitaire hors de tout cadre légal)
  • La sécurité :
    • la centralisation des données de populations étant dans des situations vulnérables rend la fuite de données plus lourde de conséquences pour elles
    • l’utilisation des technologies traitant les données biométriques exigent un niveau de maintenance élevé et par conséquent représente un cout financier

Par exemple, la mise à disposition de réseau de wifi pour des personnes réfugiées syriennes au sein d’un camp grec a résulté en plus de 80 000 cyberattaques par jour.

  • La réputation : en cas de fuite de données biométriques, la confiance dans l’organisation qui les détenait et les utilisait serait affectée et mettrait en péril ses activités sur le terrain ; le risque réputationnel comprend également un risque de perception, c’est-à-dire basé sur de la mésinformation (des rumeurs par exemple)
  • Les conséquences sociétales :
    • certaines personnes ne peuvent ou veulent soumettre leurs données biométriques, ce qui les exclut de l’aide fournie, conditionnée à leur mise à disposition par ces populations
    • l’utilisation des données biométriques peut amener à reproduire ou aggraver les disparités à cause de cette exclusion (par exemple un refus lié à une norme culturelle ou une impossibilité liée à un handicap)
    • le risque de « déshumaniser » les personnes en traitant leur identité seulement à travers leurs données biométriques

ii. Focus sur l’enjeu spécifique lié à l’image

De manière générale, l’image d’une personne fait partie des données personnelles. L’image faciale est une donnée biométrique car elle permet l’“identification unique” d’une personne. Donc au-delà de tous les systèmes d’enregistrement mis en place par les agences des Nations Unies ou en partenariat avec des entreprises privées dans le cadre de cash transfer, les ONG doivent aussi prendre en compte qu’une simple photographie utilisée pour informer ou témoigner sur les activités d’un projet peut être une donnée biométrique. La personne participe alors à la communication de l’organisation qui a une responsabilité de transparence et de redevabilité envers elle sur l’utilisation qui est faite de la photo, d’autant plus avec le développement de nouvelles technologies telles l’intelligence artificielle peu maitrisés aujourd’hui mais qui permet et permettra de plus en plus le traitement à grande ampleur de contenus photographiques.

Au même titre que pour d’autres types de données personnelles collectées, les personnes concernées ont des droits sur leur image. Le droit à l’image est une prérogative permettant d’autoriser ou de refuser la reproduction et la diffusion publique de son image.

Etant une donnée sensible, il est conseillé d’obtenir le consentement éclairé de la personne. En effet, l’enjeu de la collecte de l’image est l’identification unique d’une personne qu’elle représente, mais également au partage de l’image, c’est-à-dire à sa diffusion. L’image peut avoir des risques et des impacts forts sur la vie privée d’une personne, notamment vis-à-vis de sa communauté.

  • Précision : le consentement d’une personne est nécessaire lorsque sur l’image la personne est reconnaissable (c’est-à-dire identifiable) et isolé·e. Si l’image représente une foule de personnes non identifiables, alors le consentement n’est pas nécessaire.
  • Pour les enfants : lorsqu’une image d’un·e enfant est prise, son consentement et celui de(s) responsable(s) légaux·ales est nécessaire.

Si un doute persiste dans l’obtention du consentement à l’image, il est préférable de ne pas la collecter dans un souci de transparence et de respect. L’accent est mis sur ce principe dans le guide éthique sur la collecte et l’utilisation des images dans le secteur humanitaire, issu du Bond Institute (disponible seulement en anglais) qui donne des éclairages sur la façon de communiquer avec les personnes dans cette situation.

5.4.3 Comment les ONG peuvent-elles appréhender le sujet ?

Le biométrique n’est pas un sujet simple, et les ONG ont une marge de manœuvre limitée, par rapport aux systèmes de collecte et gestion qu’elles mettent en place elles-mêmes.

En effet, les technologies associées au biométrique sont souvent imposées par les bailleurs / agences Onusiennes au sein des programmes humanitaires des ONG- celles-ci n’ont donc pas toujours un vrai choix concernant le fait de les utiliser ou non. Il reste néanmoins important de connaitre les enjeux associés, pour pouvoir questionner les organismes les promouvant ou les implémentant au besoin (témoigner si le consentement ne semble pas respecté par exemple), voir refuser un projet ou l’utilisation des systèmes biométriques associées si les conditions du « Do no harm » ne semblent pas réunies, comme l’avait fait Oxfam il y a quelques années.

Néanmoins, comme l’aborde le rapport (ressource disponible seulement en anglais) de l’ODI et Humanitarian Policy Group déjà mentionné, il serait illusoire pour les ONG de refuser totalement leur utilisation de manière irrévocable. Celles-ci sont clairement amenées à être de plus en plus utilisées, bien au-delà d’ailleurs du simple secteur humanitaire. Aux ONG par contre de se mobiliser pour mieux en comprendre les rouages pour chercher à rendre ces systèmes plus respectueux des droits des populations affectées.

5.4.4 Ressources clés

  • L’ICRC utilise les données biométriques dans ses projets et a développé une politique interne en la matière qui donne des recommandations pour respecter les principes humanitaires.
  • Vous trouverez de nombreuses recherches et études de cas vous permettant d’aller plus loin sur le site du Engine Room dédié au sujet. The Engine room a également publiée une étude commissionnée par Oxfam en 2018 qui a fait date, sur les enjeux et la façon dont les données biométriques dans le secteur, ainsi que les risques et opportunités que leur utilisation représente (ressource disponible seulement en anglais).
  • Le Bond Institute, un réseau britannique d’organisations travaillant dans le développement international. Il a élaboré un guide éthique sur la collecte et l’utilisation des images dans le secteur humanitaire, seulement disponible en anglais et qui livre des conseils sur la manière de recueillir les témoignages de personnes participant à leur communication.
  • Et enfin, vous pouvez lire cet article issu The New Humanitarian (disponible en anglais), qui illustre un changement des acteurs humanitaires vis-à-vis de l’utilisation des données biométriques dans le cadre de leurs interventions en Ukraine.