19.4115 · Interpellation · 2019-09-24
Département des finances
Liquidé
Wortlaut
En Suisse, des banques entendent remplacer le mot de passe par les empreintes digitales de leurs clients pour la connexion et l'utilisation de leurs comptes. Le Conseil fédéral est-il au courant de ces pratiques, ont-elles été analysées sur les plans juridique et de protection des données, et comment entend-t-il garantir la cybersécurité de nos concitoyens ?
Begründung
De nombreux citoyens suisses sont aujourd'hui avisés par leur banque qu'ils vont devoir remplacer l'utilisation de leur mot de passe par leurs empreintes digitales afin de pouvoir se connecter à leurs comptes bancaires (via smartphone ou pour des achats en ligne par carte de crédit depuis un ordinateur). Ces pratiques sont d'autant plus surprenantes que, jusqu'à maintenant, l'utilisation des empreintes digitales était associée uniquement aux services de la police et de la justice : les cadres légal et réglementaire existants et contraignants empêchaient tout risque d'abus.
L'utilisation des données biométriques (collecte, traitement, transmission, stockage) est un véritable sujet de société et dépasse de loin la simple question technique. Car l'empreinte digitale est irrévocable : et de nombreux et récents incidents, largement médiatisés, témoignent de la fragilité de cette collecte. Si, bien évidemment, les relations d'une banque avec ses clients sont du ressort privé, il appert que le fait qu'une institution privée dispose de ces données strictement personnelles doit intéresser l'autorité politique en raison de la richesse de ces informations. Comment, dès lors, les banques pourront-elles garantir une totale confidentialité des empreintes, une non-utilisation frauduleuse ou encore une non-transmission de ces données à des tiers, à des entités publiques ou privées ?
C'est pourquoi, j'interpelle le Conseil fédéral : ces nouvelles pratiques des banques sont-elles connues ? Ont-elles été analysées sur un plan juridique ou sur le plan de la protection des données ? Comment la Confédération compte-t-elle protéger ses concitoyens, leur vie privée, leur intégrité physique, leur identité biologique ? Et l'actuel - et potentiel - vide juridique n'est-il pas potentiellement préjudiciable et dommageable à nos concitoyens ?
Stellungnahme des Bundesrates
Depuis déjà plusieurs années, les données biométriques sont utilisées à des fins d'authentification pour différentes applications et cette pratique tend à se répandre. Il est par exemple possible de déverrouiller certains appareils mobiles au moyen d'une empreinte digitale. Les techniques d'authentification à plusieurs facteurs choisies par les banques fonctionnent en général avec le système "Touch ID" de l'appareil. Les systèmes des banques n'ont par conséquent jamais accès aux données biométriques. Comme pour l'utilisation d'applications similaires, les banques doivent en principe avoir obtenu le consentement libre et éclairé de la personne concernée pour pouvoir utiliser de telles procédures d'authentification en tant que substitut ou complément du mot de passe. Ainsi, le recours à ces techniques ne soulève pas de nouvelles questions juridiques.
Les conditions régissant la collecte et le traitement de données personnelles sont inscrites dans la loi fédérale sur la protection des données. Dans le cadre de la révision totale de ladite loi (17.059), le Conseil fédéral a proposé à l'Assemblée fédérale que la définition de la notion de "données sensibles" soit étendue aux données biométriques. Cette modification est en conformité avec la directive (UE) 2016/680, qui est un développement de l'acquis de Schengen (art. 3, par. 13 et art. 10), et avec le nouveau règlement général sur la protection des données de l'Union européenne (règlement [UE] 2016/679, art. 4, par. 14 et art. 9). Elle a été effectuée en réponse à l'utilisation croissante des données biométriques et aux risques qui y sont liés.
La cybersécurité de la population revêt une importance majeure pour le Conseil fédéral. Au moyen de différentes mesures, décrites dans la Stratégie nationale de protection de la Suisse contre les cyberrisques, il cherche à réduire les risques de vol ou d'utilisation abusive de données en cas de cyberattaque. Il travaille pour cela en étroite collaboration avec les milieux économiques, les hautes écoles et les cantons et contribue à informer la population pour que celle-ci puisse faire usage des nouvelles technologies en toute sécurité.
Réponse du Conseil fédéral.