Alors que les responsables du Mauritius National Identity Card System (MNICS) multiplient les initiatives en vue compléter la migration vers la nouvelle carte d’identité nationale biométrique à l’approche de la date limite imposée par la loi, la Data Protection Commissioner, Drudeisha Madhub, dont les services sont l’égide du Prime Minister’s Office, a jeté un pavé dans la mare en récidivant avec un ruling contre les empreintes biométriques. Comme il a été le cas pour le groupe Alteo, décrétant illégale la décision d’exiger des empreintes digitales des membres du personnel pour les besoins de contrôle de présence au travail, cette instance a pris à défaut de manière frontale la compagnie Prokid, gérant l’école primaire privée Clavis. Une institutrice de nationalité australienne, Amanda Jane Jones, avait refusé de donner ses empreintes digitales suite à des directives de son employeur. Après un comité disciplinaire sur lequel siégeaient le Headmaster, Nicolas Hammer, et un des membres du board en la personne de Philippe Alain Forget, l’employée étrangère fut tout simplement licenciée séance tenante.
La récente décision motivée de la Data Protection Commissioner, après une analyse approfondie des raisons et des circonstances du licenciement d’Amanda Jane Jones est venue comme une « vindication » pour cette employée, qui a déjà logé des procès en réclamation devant les instances appropriées pour licenciement injustifié et abusif. Cette affaire remonte au mois d’août 2013, quand les services de la Data Protection Commision furent sollicités pour un arbitrage dans ce litige.
Dans les attendus de cette décision, Drudeisha Madhun, comme pour souligner la pertinence de sa décision dans la conjoncture, prend la peine de soutenir que « for the sake of clarity, I have decided to reproduce the relevant parts of the Article 29 Data Protection Working Party Opinion and the case verbatim such that there is no misinterpretation of the reasoning applied ». La portée de cette opinion dépasserait le simple cas d’un licenciement et pourrait également influer sur le projet de la nouvelle carte d’identité nationale où un budget de Rs 1,5 milliard est engagé.
La conclusion de la Data Protection Commissioner est des plus catégoriques dans le cas de Clavis, comme il l’a été avec Alteo. « The Marper case confirms the protection of personal data as part of the fundamental human right to privacy and the term privacy is also present in Article 22 of our Civil Code and the Data Protection Act is the law protecting this fundamental human right. This case illustrates the importance of respecting human rights’ principles whilst processing fingerprints by the police, inter alia the State », s’appesantit-elle.
Ce commentaire venant d’un organisme sous le contrôle du Prime Minister’s Office, prenant à contre-pied l’exigence de soumettre des empreintes digitales, est accueilli favorablement par les contestataires de la migration vers la Biometric ID Card. Il ne fait aucun doute que l’argumentation développée par la Data Protection Commissioner trouvera écho lors des deux procès réclamant des injonctions contre le gouvernement au sujet de la nouvelle carte d’identité.
Justifiant sa décision, la Data Protection Commissioner s’appuie sur des risques majeurs aux droits fondamentaux des individus, en l’occurrence « identity fraud, purpose diversion and data breach occurrence ». Avant d’analyser ces facteurs déterminants, le ruling contre Clavis cite le précédent en Grande-Bretagne dans l’affaire Marper contre les autorités britanniques remontant au 4 décembre 2008.
La cour britannique est arrivée à la conclusion que « the protection of personal data is of fundamental importance to a person’s enjoyment of his or her right to respect for private and family life, as guaranteed by Article 8 of the Convention on Human Rights. The need for such safeguards is all the greater where the protection of personal data undergoing automatic processing is concerned, not least when such data are used for police purposes. The domestic law should notably ensure that such data are relevant and not excessive in relation to the purposes for which they are stored ; and preserved in a form which permits identification of the data subjects for no longer than is required for the purpose for which those data are stored ». Autant d’arguments qui pourront être débattus devant la Cour suprême à l’appel le mois prochain des procès pour les injonctions contre la carte d’identité nationale biométrique.
Risques majeurs
La Data Protection Commissioner met l’accent sur les « data protection concerns associated with the use of fingerprints », dont entre autres la précision (accuracy) des données stockées, le traitement des données sensibles et la révocabilité. Sur le premier point, mention est faite que « even though fingerprints eventually present a high accuracy rate, this can be challenged due to limitations related to the information — low quality of the data or non-consistent acquisition process — or representation — features selected or quality of the extraction algorithms — issues. This can lead to false rejection or false matches. »
Le ruling met également en garde contre le danger que « the irreversibility of the process can reduce the possibility of the individual of exercising his rights or to reverse decisions adopted based on a false identification. The reliance on the accuracy of fingerprinting can make possible mistakes harder to rectify, leading to far reaching consequences for individuals ». L’absence de mesures de sécurité peut donner lieu à des possibilités d' »identity theft than can have strong impact for the individual ».
De graves appréhensions sont exprimées quant aux risques de détournement de l’objectif premier du projet. « Fingerprints provide potential for misuse as the data can be linked with other databases. This possibility of linking up to other databases can lead to uses non compatible with the original purposes », prévient la commissaire pour la protection des données digitales en citant des techniques pour atténuer ces problèmes.
Le traitement des données sensibles présente des facteurs à risques non négligeables car les « fingerprint images can reveal ethical information of the individual », alors que « the central storage of data, especially on large databases, implies risks associated with data security, linkability and function creep. This allows, in absence of safeguards, the use of the fingerprints for purposes different than those that initially justified the processing. »
Le fait majeur demeure que les empreintes digitales sont considérées comme étant des plus stables au fil du temps, voire irrévocables. Mais il y a encore le danger d’une mauvaise utilisation de ces données personnelles vu que « fingerprints can be easily collected because of the multiple tracks of fingerprints an individual leaves behind. Moreover, false fingerprints can be used with many systems and sensors, especially when such systems do not include specific anti-spoofing protection ». Une façon de dire que la Data Protection Commission n’y est pas allée de mainmorte sur ces contraintes majeures aux droits fondamentaux des individus.
« Potential for misuse »
Pour en revenir au licenciement d’Amanda Jane Jones de l’école privée Clavis pour avoir refusé de donner ses empreintes digitales sur ordre de la direction, l’Australienne, qui a retenu les services de Me Jean-Claude Bibi, fait ressortir que « I was dismissed from my employment for insubordination tantamount to defying the authority of the board for writing a letter stating I was not prepared to provide the school with my fingerprint for the purpose of attendance even though I stated that there was no law ». Avant d’arriver à la conclusion à l’effet que l’obligation d’exiger des empreintes digitales d’un employé constitue une violation de ses droits fondamentaux, la Data Protection Commission a procédé à l’audition des deux parties en août de l’année dernière pour consigner leurs points de vue respectifs.
La direction de l’école Clavis avance que, sur un personnel de 80 employés, 78 ont donné leur accord verbal pour fournir leurs empreintes digitales pour les besoins de contrôle des présences au travail et ce, depuis janvier 2013. « The fingerprint system is meant to be linked with the payroll but it is not yet as the machine is on a consistency basis », ajoutent les responsables de l’école dans leur déposition en août de l’année dernière, tout en révélant des détails sur les caractéristiques du système adopté avec une descente des lieux fut organisée le 24 septembre 2013 à l’école en présence d’un officier de police pour un constat et une vérification des explications données.
Devant le refus de l’Australienne de fournir ses empreintes digitales, un comité disciplinaire, comprenant le maître d’école, un membre du conseil d’administration et le conseil légal de Prokid, avait été institué en vue décider de la marche à suivre. Les délibérations se sont déroulées le lundi 3 juin 2013 et la sanction de licenciement intervenant le 7 juin « on the gound of insubordination for refusal to submit her fingerprints for attendance purposes and thus not abiding to allegedly lawful instructions ».
La Data Protection Commissioner rejette la thèse avancée par Clavis pour justifier le renvoi de cette employée car les droits fondamentaux de celle-ci ont été carrément violés et recommande qu’une enquête au pénal soit initiée par la police contre la direction de l’école. « Private employers cannot enjoy a lesser duty or privilege towards fingerprint processing of employees in the name of monitoring attendance and claim that this interference with the fundamental right to privacy is reasonably justifiable in our democratic society as interpreted in Marper or possibly found to be justified for the execution of the essence of a contract of employment which concerns the performance of essential duties and functions », maintient la commission.
En conclusion, Drudeisha Maddub écrit que « the random use of fingerprints cannot be allowed and prosecution is advised against Board of Prokid for breach of sections 24 or 25 and 61 of the Data Protection Act based upon the evidence before me which establish beyond reasonable doubt that Amanda Jane Jones was justified in not providing her consent for the processing of her personal information which was also the reason for her dismissal. Fingerprints may be classified as personal data and/or sensitive personal data in compliance with section 2 of the DPA depending on the information they might generate on the person identified. »
En tout cas, ce dernier ruling, après celui d’Alteo, sera un précieux document que tentera d’obtenir tout militant contre la Biometric D Card du MNICS…