La Tunisie s’apprête à lancer l’utilisation de la carte d’identité nationale biométrique et du passeport biométrique. Largement plébiscités, car jugés sûrs, ces documents soulèvent, toutefois, de réelles préoccupations en lien avec le stockage des données et la protection de la vie privée.

D'après les lois relatives la CIN et du passeport biométriques, le ministère de l’Intérieur, délivreur des documents en question, se chargera de collecter et de stocker les données des citoyens sans en préciser la nature.

Ces inquiétudes ne datent pas d’aujourd’hui. En 2016, après que le chef du gouvernement en exercice, Habib Essid, a annoncé l’introduction progressive de ces documents d’identification biométriques, l’Instance nationale de protection des données personnelles (INPDP) a dénoncé une flagrante violation à la loi de 2004 sur la protection des données personnelles. Le projet de loi, alors, présenté par le ministère de l’Intérieur a été fortement critiqué, car le ministère entendait créer une base de données biométriques de plus de huit millions de citoyens.

Les données biométriques sont, rappelons-le, un ensemble de caractéristiques uniques qui permettent d’identifier de manière distinctive un individu, telles que l’empreinte digitale, les traits du visage, l’iris, ou encore l’ADN. Ce sont ces caractéristiques qu’on peut trouver sur une carte d’identité ou un passeport biométrique. Équipés d’une puce électronique, ces documents contiennent des informations personnelles sur le titulaire du document telles que le nom et le prénom, sa date de naissance, mais stockent également des informations numérisées telles qu’une photo du titulaire du document, ses empreintes ou encore sa signature électronique. Une fois collectées et stockées, ces données ne peuvent plus être modifiées. C’est d’ailleurs leur nature immuable qui amplifie les préoccupations liées à leur conservation, le risque d'accès non autorisé ou l’utilisation frauduleuse et abusive comme l’usurpation d’identité ou la surveillance de masse. 

Cette série de dystopies orwelliennes a été pointée du doigt quand la question de la constitution d’une telle base de données a été abordée en 2016. Elle a été fortement déconseillée surtout que parallèlement à l’annonce du gouvernement sur l’adoption des documents d’identification biométriques, le ministère de l’Intérieur s’était, lui, engagé dans un projet d’installation de caméras de surveillance sur les artères principales du centre-ville de Tunis alors que le pays ne disposait même pas d’un cadre juridique pour règlementer un tel projet.

A ce risque d’atteinte à la vie privée, s’ajoute aujourd’hui la menace cybernétique. Une base de données biométriques représente une mine d’or inestimable pour des organisations cybercriminelles si elles viennent à en prendre possession. Un scénario catastrophe qui n’est pas impossible sachant qu’en dépit des efforts déployés, la Tunisie demeure loin des standards internationaux en matière de cybersécurité et ne dispose toujours pas de référentiel national en la matière. D’ailleurs, rien qu’en juin 2023 (dernière statistique disponible), l’Agence nationale de la cybersécurité (anciennement Agence nationale de la sécurité informatique - Ansi ) a annoncé la détection de 29.351 incidents déclarés, toutes catégories confondues. (Hameçonnage, attaques DDoS, malwares…).

En dépit des problématiques soulevées depuis 2016 à chaque fois que l’adoption des documents biométriques a été sujet à discussion au Parlement et la panoplie des menaces cybernétiques qui ne cessent de s’accroitre, le ministère de l’Intérieur a fini par faire passer sa quatrième version du texte, le 6 mars 2024, par des élus divisés sur la question du stockage des données dont la nature n’a pas été précisée dans le texte de loi. Certains ont pointé les dangers inhérents à la constitution d’une base de données biométriques citant comme exemple les incidents de fuite qui ont eu lieu en Inde ou encore aux Etats-Unis exposant ainsi des millions de données sur le Dark Web, d’autres ont défendu la création d’une telle base, car l’absence de cette base de données centralisée rend impossible l’identification.

En effet, les données biométriques peuvent être utilisées à des fins d’authentification ou d’identification. Si dans le premier cas, il n’y a nul besoin d’avoir une base de données centralisée, pour le second, cette base de données est indispensable. D’où la nécessité d’un système de protection consolidé. Or, selon l’expert en cybersécurité et enseignant à la Sup’Com, Mohamed Hamdi, les systèmes déployés actuellement en Tunisie ne permettent pas de protéger une base de données biométriques. Dans une déclaration à Business News, il a précisé que l’alternative serait, dans ce cas de figure, de stocker uniquement les données qui permettent l’identification sans compromettre la vie privée des personnes, d’un côté, et de l’autre de s’assurer de la bonne application des lois relatives à la protection des données personnelles. Selon M. Hamdi, techniquement, il faudrait déployer une solution personnalisable dont le chiffrement est indépendant du fournisseur de la technologie et créer une commission parlementaire spéciale chargée de contrôler les institutions qui font partie de l’exécutif et qui auront la main sur la base de données en question.

La loi reste une barrière face à l’utilisation malveillante des données biométriques. Certains pays ont choisi d’adopter des règlementations renforcées en matière de protection de la vie privée. En Europe par exemple, la collecte, le traitement et la protection des données biométriques sont réglementées par le Règlement général sur la protection des données (RGPD), de par la sensibilité de ces données et la Convention 108 (dont la Tunisie est signataire depuis 2019).

Encore faut-il, aussi, que les organismes de contrôle aient les moyens de faire respecter la conformité et imposer des sanctions aux entités qui ne respectent pas les normes en matière de protection des données.

En Tunisie, la bataille est loin d’être gagnée. D’ailleurs, la précipitation dans laquelle les projets de lois ont été adoptés ne fait qu’amplifier les inquiétudes sur le motif réel derrière l’utilisation des documents biométriques dans un pays où la digitalisation s’arrête à une informatisation titubante de certaines procédures sans parler de la signature légalisée et la copie conforme toujours en vigueur en dépit de la disponibilité de la signature électronique et du QR Code.

Nadya Jennene