Matière à inquiétude?

icone Campus
Par Sophie Arbour
lundi 22 septembre 2014
Matière à inquiétude?
Les informations biométriques des membres du CEPSUM sont sauvegardées sur deux serveurs indépendants afin d’assurer la confidentialité. Un serveur stocke toutes les données biométriques et l’autre, l’information personnelle sur l’utilisateur. Crédit photo : Isabelle Bergeron
Les informations biométriques des membres du CEPSUM sont sauvegardées sur deux serveurs indépendants afin d’assurer la confidentialité. Un serveur stocke toutes les données biométriques et l’autre, l’information personnelle sur l’utilisateur. Crédit photo : Isabelle Bergeron
Cet été, on apprenait que La Ronde avait implanté un système de lecture des empreintes digitales pour les visiteurs qui souhaitaient accéder au site plus rapidement. Le déploiement de systèmes d’identification par biométrie est une source d’inquiétude pour les défenseurs des droits à la vie privée et de la protection des renseignements personnels. Y a-t-il lieu de s’inquiéter au sujet des lecteurs biométriques situés à l’entrée du CEPSUM depuis 2001 ?
Cet été, on apprenait que La Ronde avait implanté un système de lecture des empreintes digitales pour les visiteurs qui souhaitaient accéder au site plus rapidement. Le déploiement de systèmes d’identification par biométrie est une source d’inquiétude pour les défenseurs des droits à la vie privée et de la protection des renseignements personnels. Y a-t-il lieu de s’inquiéter au sujet des lecteurs biométriques situés à l’entrée du CEPSUM depuis 2001 ?

À l’aide d’un faisceau lumineux, cette technologie associe environ 200 endroits sur la main au numéro de dossier. Ces données sont ensuite emmagasinées dans les lecteurs biométriques de la société Recognition Systems. « Il n’y a aucun lien entre cette banque de données et le dossier de l’utilisateur », affirme le porte-parole de l’UdeM, Mathieu Filion. Selon l’Université, toutes les précautions sont prises pour éviter une fuite des données biométriques des utilisateurs. «[Elles] ne servent qu’à l’accès, il n’y a aucune autre utilisation», assure M. Filion. La banque de données est fréquemment vidée et les données ne sont pas conservées. De plus, ce ne sont pas les empreintes digitales qui sont prises, mais bien des points sur la main.»

 

Des mesures sont prévues par la loi afin de réduire les risques d’intrusion dans la vie privée associés à ce type de lecteur. « La loi concernant le cadre juridique des technologies de l’information oblige les détenteurs d’informations biométriques à effacer les données qui ne leur sont plus utiles», énonce l’avocate du Centre de recherche en droit public de l’UdeM et experte-conseil en droit des technologies de l’information Julie Gauthier. En vertu de cette loi, le CEPSUM est dans l’obligation d’éliminer les données et les informations relatives aux étudiants et abonnés ne fréquentant plus le CEPSUM.

 

Prévenir la fraude

L’implantation du système d’analyse biométrique avait pour buts de faciliter la vie des commis qui devaient vérifier chaque carte et de réduire les pertes de revenus liés à la fraude. Le CEPSUM parlait à l’époque de 30 cas de fraude par année qui étaient découverts. Toutefois, la participation à cette procédure est volontaire et il est toujours possible d’entrer en posant sa carte étudiante sur le lecteur. «Cette liberté de choix est un droit de toute façon garanti par la loi», affirme l’étudiant au doctorat en droit des technologies de l’information Antoine Guilaim. Ce n’est pas d’hier que ces systèmes préoccupent les utilisateurs. «Le danger, c’est de profiter de ces systèmes pour augmenter la fréquence des contrôles en tout genre, croit l’étudiant en physique et informatique Sébastien Zerbato. J’espère que ces lecteurs biométriques sont cryptés pour faire en sorte de ne pas laisser accès à quelconque information. »

 

Quelques mois après l’installation des lecteurs, le directeur adjoint du CEPSUM, Edgar Malépart, avait affirmé à Quartier Libre qu’«aucun système ne peut être sécuritaire à 100%». Aujourd’hui, on assure toutefois qu’il n’y a jamais eu de problèmes. «Ce système pouvait soulever des craintes lors de son implantation au début des années 2000, mais il n’y a jamais eu de plaintes, affirme M. Filion. Une personne qui craint le service n’a qu’à ne pas l’utiliser.» Le système de lecture de données biométriques a été mis en place parce qu’il a été jugé plus sécuritaire que la vérification de la carte étudiante, facilement prêtée ou volée. «Si l’objectif était de lutter contre la fraude, le CEPSUM doit être en mesure de démontrer qu’il y avait réellement un problème à ce niveau», explique Mme Gauthier.

 

Selon elle, les moyens employés pour parvenir à une fin doivent être proportionnels à l’ampleur et à la nature du problème. Elle ajoute que ce type d’installations devrait être permis seulement en dernier recours. «L’entité qui désire utiliser un système de reconnaissance biométrique doit être en mesure de démontrer que le but visé par l’implantation d’un tel système peut être atteint par la mise en place de celui-ci, établit Mme Gauthier. Si un système moins intrusif peut permettre d’atteindre ce même but, c’est celui-ci que l’on doit privilégier. » Mme Gauthier explique que si une plainte à la Commission de l’accès à l’information était déposée quant à ce système d’identification, une enquête interne pourrait être exigée. Le CEPSUM devrait alors démontrer que son objectif de sécurité est justifié et faire état des problèmes de fraude dont il s’est dit victime. La Commission s’interrogerait ensuite à savoir si les 30 cas de fraude par année représentent un problème d’une ampleur suffisante pour justifier l’installation d’un tel système.