Intervention de Frank Robben

La carte d'identité électronique existe depuis 2001 en Belgique ; je l'ai élaborée en collaboration avec d'autres personnes et je pourrais vous expliquer tout le système cryptographique qui sous-tend son fonctionnement. Nous n'avons jamais eu de problèmes de sécurité liés à la carte elle-même et nous n'avons jamais rencontré de carte falsifiée. Il n'est pas non plus possible de copier les informations d'une carte sur une autre sans que le système le détecte au moment de la lecture, car chaque puce dispose d'un microprocesseur assorti d'un numéro de châssis unique, utilisé comme paramètre dans le cryptage de données. Elle est donc parfaitement protégée.

La biométrie est un instrument d'authentification. S'identifier, c'est répondre à la question : « Qui êtes-vous ? » ; s'authentifier, c'est répondre à une question différente : « Prouvez-moi que vous êtes la personne que vous prétendez être. » On peut s'authentifier de trois façons – ou par la combinaison de ces trois façons : soit par un objet que l'on possède, soit par une information que l'on connaît, soit par ce que l'on est. La carte d'identité électronique belge combine pour le moment les deux premiers critères : il faut détenir physiquement la carte et connaître son code PIN. Dans les nouvelles cartes qui sont distribuées depuis quelques mois, la puce contient aussi l'empreinte digitale. Pour prouver son identité, il faut mettre son doigt sur un lecteur qui est coordonné localement avec le contenu de la puce, ce qui permet de comparer les deux. Il ne s'agit que d'une preuve locale : comme l'a préconisé l'organisme belge comparable à votre commission nationale de l'informatique et des libertés (CNIL), il n'y a pas de base de données centralisée qui stockerait toutes les empreintes digitales. Nous n'avions pas intégré ce dispositif en 2001 parce qu'il n'existait alors pas de standard suffisant en la matière ; il y avait beaucoup de faux positifs et de faux négatifs. Depuis, le système est devenu beaucoup plus sûr, ce qui nous a permis de commencer à utiliser la biométrie il y a quelques mois ; elle est d'ailleurs imposée par l'Union européenne pour un certain nombre de documents.

Je l'ai dit, l'usurpation d'identité ne peut se faire en copiant une carte. Il est toujours possible que quelqu'un parvienne à intégrer les bases de données – notamment le registre national – et à obtenir une carte sans que l'on ait bien vérifié qu'il est effectivement celui qu'il prétend être avant de la lui donner, mais cela n'a rien à voir avec l'informatique. Les procédures qui précèdent l'attribution d'une carte doivent être suffisamment sécurisées pour garantir que personne ne dispose de deux identités.