Vers des contrôles biométriques « en bord de route »

Le ministère de l'Intérieur en appelle aux industriels et start-ups pour pouvoir doter ses agents de nouvelles « solutions de capteurs biométriques » mobiles, « de préférence via un smartphone/tablette, voire à partir de l'appareil photo d'un smartphone/tablette ». Un appel d'offres devrait être lancé en mars 2022.

Dans leur rapport d'information sur les fichiers mis à la disposition des forces de sécurité, les députés Didier Paris et Pierre Morel-L'Huissier estimaient, en octobre 2018, que « les forces de sécurité ont un besoin fort de fiabilisation des identités et d'interconnexions ».

Ils constataient en effet que « l'ensemble des forces de sécurité auditionnées par les rapporteurs ont fait part d’un problème majeur de fiabilisation de l’identité des personnes inscrites dans les fichiers mis à la disposition des forces de sécurité »  : 

« Lorsqu’une personne mise en cause dans une procédure judiciaire n’a pu être authentifiée par un document d’identité, les bases de données (en particulier le TAJ [pour fichier de traitement des antécédents judiciaires, qui répertorie les victimes et personnes mises en cause, ndlr] et le FAED [le fichier automatisé des empreintes digitales, ndlr]) sont alors alimentées sur la seule foi de ses déclarations. Faute d’interopérabilité avec les fichiers administratifs de titres (de séjour ou d’identité), les erreurs ainsi introduites ne peuvent être corrigées. »

Les gendarmes auditionnés avaient en outre « souligné à quel point la fiabilisation des identités devenait un enjeu crucial en un temps marqué par la mobilité des populations et les flux migratoires », à mesure que « de nombreux pays étrangers ont un casier judiciaire avec empreintes digitales, ce qui n’est pas le cas de la France ».

Ils relevaient cela dit de « timides progrès déjà accomplis », à commencer par « la mise en oeuvre en octobre 2017 de GASPARD-NG » (pour Gestion automatisée des signalements et des photographies anthropométriques répertoriées et distribuables - Nouvelle génération), l’un des fichiers qui composent le nouveau système d’information dédié à l’investigation (NS2i). 

Les deux députés omirent cela dit soigneusement de rappeler que Gaspard existait depuis au moins 2008, qu'il n'avait été officialisé qu'en 2012, et qu'il était alors illégal faute d'avoir été soumis à l'avis de la CNIL. Et ce, alors même qu'il permettait au surplus d'effectuer des recherches en cochant des cases type « blanc (caucasien), méditerranéen, gitan, maghrébin, noir », etc., accent (régional, étranger, pied-noir, « ne s’exprime pas en français »-sic), pilosité, couleurs d’yeux et de cheveux, et qu'il n'en comportait pas moins déjà plus de 2 millions de photographies. Les rapporteurs préférèrent opter pour une vision strictement policière du fichier : 

« Désormais, dès qu’une personne est interpellée, elle est signalisée avec ce logiciel qui permet d’intégrer le signalement, les photographies et les empreintes digitales. GASPARD NG transmet des références communes au TAJ et au FAED, ce qui est un facteur de fiabilisation des données contenues dans ces deux applications.

L’outil GASPARD NG permet aussi d’alimenter le TAJ des photographies des mis en cause. Il est ainsi désormais possible de lancer dans le TAJ des recherches à partir d’une photographie. Les résultats de la recherche font apparaître les photographies déjà présentes susceptibles d’y correspondre en fonction d’un certain nombre de paramètres (écartement des yeux, etc.). La recherche peut ailleurs être affinée par certains critères, tels que le sexe, la couleur des yeux ou des cheveux, etc. Le TAJ constitue déjà, de ce point de vue, un outil de reconnaissance faciale. »

Des contrôles depuis l'app' mobile

Évoquant le recours à la biométrie en mobilité en matière de contrôle « en bord de route », ils déploraient cela dit le fait que « si les applications Néo/Néogend [utilisées, respectivement, par la police et la gendarmerie, ndlr] permettent la consultation des fichiers de police à partir de données alphanumériques (nom, prénom, date, lieu de naissance), elles ne permettent pas encore en revanche le contrôle à partir de la biométrie ».

Ils soulignaient toutefois que « l’appareil photo intégré dans ces outils offre des perspectives intéressantes peu explorées et qui pourraient être prometteuses, surtout si la reconnaissance faciale était autorisée », à mesure qu'il « permet la prise de photographie faciale mais aussi la capture directe d’empreintes digitales ».

De plus, et selon le ST(SI)² (pour Service des technologies et des systèmes d’information de la sécurité intérieure), « des projets en laboratoire chez certains industriels en ont déjà démontré la faisabilité. D’ici deux ans, sans ajout d’appareil de capture biométrique, NEO pourrait être un vecteur de contrôle et d’identification des personnes recherchées, ou des étrangers en situation irrégulière, et de contrôle aux frontières ».

Ils notaient enfin que « d'autres outils biométriques pourraient voir le jour, sous l’impulsion notamment de la Commission européenne [qui] travaille par exemple à la mise en œuvre de contrôles par l’iris de l’œil ». Deux ans sont passés, et Place Beauvau en appelle aujourd'hui officiellement aux industriels, au prétexte de l'évolution règlementaire européenne.

Une dizaine de fichiers biométriques

L'appel à compétences, une demande d'informations (DI, ou RFI en anglais) qui vient d'être publiée au Bulletin officiel des annonces des marchés publics (Boamp), explique en effet que « de nouveaux règlements européens visant à renforcer le contrôle de l’immigration, la sécurité intérieure et la coopération policière et judiciaire appellent à une évolution des systèmes d’information (SI) de biométrie actuels ».

Le ministère précise que si « la présente DI ne présente aucun caractère confidentiel, néanmoins, elle ne peut pas être reproduite ou partagée sans l’accord de l’Etat ». Si tout un chacun peut la télécharger, nous nous contenterons donc de la résumer.

Le ministère, qui est actuellement doté de plusieurs types d’équipements (IDEMIA MorphoTop 100, IDEMIA TP 5300, Morphocivis, Metamorpho, Greenbit DactyScan, etc.), voudrait en profiter pour améliorer la mutualisation des matériels et logiciels, ainsi que « leur interopérabilité entre les systèmes nationaux (VISABIO, SBNA, AEM, EURODAC, FAED) et les nouveaux systèmes européens (EES, ETIAS, ECRIS-TCN) » : 

• VISABIO : l'application française du Système européen d'information sur les visas (VIS), où sont conservées, pour une durée maximale de cinq ans, les photographies et les empreintes digitales des dix doigts des demandeurs de visa dès l'âge de 12 ans. Doté d'une capacité de 100 millions d'enregistrements, VIS stockait 69 millions de jeux d'empreintes digitales fin 2019; VISABIO, lui, contenait 9 millions de dossiers biométriques en 2015.

• SBNA : le système biométrique national de l'application de gestion des dossiers des ressortissants étrangers en France (AGDREF), qui stocke les images numérisées de la photographie et des empreintes digitales des dix doigts des étrangers, et regroupait 7 millions de dossiers actifs en 2017.

• AEM : le fichier d'« appui à l’évaluation de la minorité des mineurs », créé en 2018 afin d'enrôler les données biométriques des personnes se déclarant mineures de sorte de faciliter la détection de la fraude à la minorité, d'identifier celles qui auraient déjà été identifiées comme majeures, et limiter les présentations successives dans plusieurs départements. En 2019, le Conseil d'État avait rejeté un recours intenté par le Fonds des Nations unies pour l'enfance (UNICEF) et 18 ONG, qui dénonçaient « un risque accru d’expulsions illégales de mineurs » et le fait que « l’application du décret a pour effet de laisser à la rue des enfants ».

• FAED : le Fichier automatisé des empreintes digitales d’aide à la recherche et à l’identification des auteurs de crimes et de délits ainsi qu’à l’identification de personnes condamnées à une peine privative de liberté. Il permet par ailleurs de faciliter la recherche de personnes disparues ou l’identification de personnes décédées ou grièvement blessées. En 2018, le FAED enregistrait les empreintes de 6,2 millions d'individus, stockées 10, 15 ou 25 ans en fonction de la gravité de l’infraction, de la qualité de mineur ou de majeur de la personne concernée et du caractère national ou international de la procédure. 

La France, principal client d'Eurodac

• EURODAC : le système d'information à grande échelle contenant les empreintes digitales des demandeurs d'asile et de protection subsidiaire et immigrants illégaux se trouvant sur le territoire de l'UE. Fin 2019, 5,59 millions de jeux d'empreintes y étaient enregistrés (dont 661 578 à l'initiative de la France, son deuxième plus gros contributeur derrière l'Allemagne), contre 2,7 fin 2014. En 2019, la France était par ailleurs le pays qui l'interrogeait le plus, à raison de plus de 98 000 des 299 000 « hits » enregistrés cette année-là, soit près de 33 % du total.

• EES : « Entry/Exit System », le système de gestion des frontières extérieures de l’espace Schengen, prévu pour 2022. Il servira à la saisie électronique des entrées et des sorties des ressortissants d’États tiers et permettra d’identifier les personnes en situation irrégulière, notamment au moyen d’identifiants biométriques (photographie du visage et 4 empreintes digitales).

• ETIAS : « European Travel Information and Authorisation System », système européen d'information et d'autorisation concernant les voyages prévu pour 2022 et dont la finalité sera d'identifier les menaces ou les risques éventuels associés aux voyageurs se rendant dans l'un des pays de l'espace Schengen à partir des données biométriques.

• ECRIS-TCN : « European Criminal Records Information System - Third Country Nationals », système européen d'information centralisée sur les casiers judiciaires contenant des informations sur les condamnations de ressortissants de pays tiers et d'apatrides, extension du système ECRIS lancé en 2012.

Une empreinte, plusieurs fichiers

Les « besoins » du ministère l'amènent à envisager de doter les services opérationnels d'API leur permettant d'une part de « décorréler les capteurs biométriques des applications et ainsi pouvoir mutualiser les capteurs entre plusieurs SI [systèmes d'information, ndlr] ».

Il s'agirait d'autre part de « permettre la consultation et l’alimentation en données biométriques de plusieurs bases de données à partir d’une seule capture biométrique ».

Les nouveaux équipements et/ou logiciels souhaités devraient dès lors permettre de « répondre à de nouveaux besoins » tels que :

• réaliser un relevé d'empreinte posée et d'empreinte déroulée à partir d'un seul équipement;
• disposer d'un équipement de capture dactyloscopique en mobilité de préférence via un smartphone/tablette ou à défaut à partir d'un capteur périphérique, voire de préférence à partir de l'appareil photo d'un smartphone/tablette ;
• disposer d'une station d'acquisition (sous Windows 10 et Ubuntu V18) capable de piloter plusieurs modèles de capteurs actuellement en place au ministère.

Une IA pour fédérer plusieurs BDD

De façon plus énigmatique, le ministère précise qu'il aimerait également pouvoir « disposer d'une brique technique performante basée sur de l'IA permettant la fédération d'identité de plusieurs bases à partir d'une empreinte dactyloscopique (ex: MatchID) ».

Ce moteur d'appariement et de recherche des décès, développé au ministère de l'Intérieur comme preuve de concept en 2017, permet une recherche simple, rapide et intuitive des personnes dont le décès a été enregistré, depuis 1970, dans le fichier de l'INSEE.

MatchID propose également des critères avancés pour rechercher plus finement, par exemple par plage de date, par département, ville, etc., et viserait notamment à lutter contre la fraude à l'identité. Mais sans que l'on comprenne bien, à ce stade, comment une IA pourrait de la sorte « permettre la fédération d'identité de plusieurs bases à partir d'une empreinte dactyloscopique », ni quelles bases de données seraient appariées.

« Éviter une retenue »

L'objectif serait de faciliter le prélèvement déroulé et palmaire des empreintes sur les scènes de crimes (mise en cause, victime, témoins, etc.) et dans le cadre d’enquête, afin de pouvoir également « alimenter les fichiers appropriés ». En matière de « prélèvement posé », le ministère répertorie trois cas d'usage : 

• en matière de contrôle de la situation administrative d’une personne étrangère, il s'agirait de « permettre une détermination de la situation de l’individu au regard de ses droits de séjours en l’absence de document disponible et lui éviter une retenue en commissariat ou brigade » ;
• en termes de contrôle de l’identité en mobilité, de « pouvoir procéder au contrôle de l’identité dans le cas où l’individu ne serait pas en mesure de justifier son identité et lui éviter une retenue pour vérification » ;
• il s'agirait enfin, « dans le cas où la personne ne peut pas ou ne veut pas décliner son identité, de pouvoir déterminer l'identité ».

Objectif mars 2022

Le ministère précise en outre que « la présente DI s’adresse aussi bien aux opérateurs leaders sur le marché de la biométrie qu’aux startups, TPE, PME, centre de recherche ou toute autre entité située en France ou au sein de l’Union européenne ». Mais également qu'elle « constitue la première étape de la consultation des éditeurs/équipementiers de solutions de biométrie afin de sonder la capacité du marché à répondre en tout ou partie des besoins du ministère ». 

Le ministère leur demande au surplus si leurs solutions seraient « compatibles avec l’ouverture du code source pour inspection et/ou placement sous licence libre », si leurs systèmes biométriques « sont interopérables avec les solutions logicielles concurrentes », et si leurs équipements fonctionnent « avec des OS Smartphone Android OSIIC (ANSSI) et/ou Android 10 ».

Leurs réponses, qui devront être remises au plus tard le 17 mai, permettront en effet d’« identifier des solutions techniques (équipements/logiciels) novatrices et aptes à une utilisation sur le terrain », en prévision d'un futur marché public, qui devrait être lancé en mars 2022.