Portrait du suspect (gauche) et celui de Nijeer Parks (droite), capture d’écran d’une vidéo CNN Business (Youtube). (AUCUN)
Spécialisée dans les technologies de l’identité biométrique, l’entreprise Idemia accumule les déboires en France et à l’étranger. (JOHN LUND / GETTYIMAGES)
–---
Le leader français de l’identité biométrique, Idemia, est notamment connu pour fabriquer la carte Vitale française. Mais ces dernières années, il a rencontré de nombreux déboires : sanction du PNF, incarcération abusive après une erreur de son algorithme et annulation d’une élection au Kenya.
Quand Nijeer Parks répond à l’appel de sa grand-mère, en ce jour de janvier 2019, rien ne pouvait le préparer à ce qui allait suivre. À l’époque, ce charpentier afro-américain de 28 ans mène une vie rangée dans le New Jersey, dans le nord-est des États-Unis. Sa grand-mère lui apprend alors qu’il est recherché par la police de Woodbridge, une ville située à 30 kilomètres de son domicile. Il est accusé de vol à l’étalage et de tentative d’homicide contre un policier.
>> ENQUETE. Quand le ministère de la Santé retoque deux campagnes de prévention sur l’alcool
Les faits se sont déroulés à Woodbridge. Mais Nijeer Parks n’y a jamais mis les pieds. Il n’a même aucune idée d’où se trouve cette ville. Il décide donc de se rendre au commissariat pour lever le malentendu et prouver son innocence. Mais rien ne se passe comme prévu : malgré ses explications, Nijeer Parks se retrouve menotté dans une salle d’interrogatoire. Ce qu’il ignore encore, c’est qu’il est victime d’un faux positif produit par un algorithme de reconnaissance faciale fourni par la société française Idemia. Celle-là même qui fabrique les cartes Vitales en France. Une erreur d’identification d’un logiciel couplé à une enquête bâclée. « Ils ont ignoré toutes les preuves qui pouvaient l’innocenter, déplore Daniel Sexton, l’avocat de Nijeer Parks. Ils avaient des empreintes digitales, des traces d’ADN, des images de vidéo-surveillance… Mais comme ils ont eu ce résultat de reconnaissance faciale, ils ont juste ignoré le reste ».
Selon l’avocat, le procureur avait connaissance de ces manquements de la police. Il requerra pourtant une peine de 20 ans à l’encontre de Nijeer Parks, évoquant ses antécédents judiciaires. Plus jeune, Parks avait été impliqué dans une affaire de possession et de vente de substances illicites.
Des machines imparfaites
Les charges seront finalement abandonnées en novembre 2019, compte tenu des preuves présentées devant la cour par la défense. Au moment des faits, Nijeer Parks était en train d’effectuer un transfert d’argent dans une agence Western Union à des kilomètres de Woodbridge. Il aura tout de même passé 13 jours derrière les barreaux pour un délit qu’il n’avait pas commis, et il déposera plainte contre la police.
« Ils ont fait confiance au logiciel. Sauf que le logiciel n’était pas fiable. C’est un problème que l’on voit dans toutes les affaires d’arrestations injustifiées que nous connaissons, explique Nate Wessler, responsable des questions liées à la vie privée et aux technologies pour l’Union américaine pour les libertés civiles (ACLU). Les gens supposent que ces machines sont plus précises et intelligentes qu’un humain. Sauf que ce sont des programmes informatiques créés par des humains, entraînés sur des données imparfaites et qui font souvent des erreurs ».
Portrait du suspect (gauche) et celui de Nijeer Parks (droite), capture d’écran d’une vidéo CNN Business (Youtube). (AUCUN)
Portrait du suspect (gauche) et celui de Nijeer Parks (droite), capture d’écran d’une vidéo CNN Business (Youtube). (AUCUN)
Interrogé sur cette affaire, Idemia n’a pas souhaité répondre, la société n’étant pas poursuivie par Nijeer Parks. Elle a néanmoins précisé que ses équipes travaillaient activement pour « améliorer l’équité des algorithmes d’intelligence artificielle » et rappelle que ses technologies sont « à la première place au test d’équité pour la détection de fausses correspondances », réalisé par l’Institut national américain des normes et de la technologie, le NIST.
L’histoire d’Idemia démarre dans les années 1970, en Afrique de l’Ouest sous son nom originel : Morpho. C’est dans les anciennes colonies françaises que l’entreprise, alors une émanation de la Caisse des dépôts et consignations (CDC), développe des solutions de biométrie pour aider à la création d’états-civils inexistants ou imparfaits dans ces pays nouvellement indépendants. « Il fallait trouver un critère physique permettant d’assurer la construction d’un état-civil, se souvient Bernard Didier, fondateur de Morpho. Ils ont pensé que l’empreinte digitale pourrait être un bon moyen de le faire ».
Mais le marché n’est pas rentable. En dépit des millions d’euros injectés dans le projet par la CDC, les contrats africains ne rapportent pas assez. « C’était un marché insolvable, regrette Bernard Didier. Les États n’avaient pas l’argent nécessaire au financement des équipements de très haute technologie. Nous nous sommes donc rabattus sur des activités de police scientifique. Parce que les polices du monde entier cherchaient des solutions pour les collections d’empreintes digitales ». Le marché « sécurité » devient donc prioritaire. Il conduit la société à démarcher aux États-Unis. À partir des années 1980, elle y signe plusieurs contrats, avec des villes moyennes comme Tacoma, au sud de Seattle, mais aussi la ville puis l’État de New York, et même le FBI en 2009, à qui elle fournit un logiciel de reconnaissance d’empreintes digitales.
Appareil de reconnaissance digitale, capture d’écran d’une vidéo promotionnelle Idemia, Vimeo, septembre 2023. (AUCUN)
Appareil de reconnaissance digitale, capture d’écran d’une vidéo promotionnelle Idemia, Vimeo, septembre 2023. (AUCUN)
Le succès est au rendez-vous. Mais la Caisse des dépôts décide de se séparer de Morpho en 1993. Elle vend la société pour un euro symbolique à Sagem, une entreprise française alors spécialisée dans les télécommunications. S’en suivent un certain nombre de fusions et de rachats. En 2005, Sagem devient Safran. Morpho est rebaptisée plusieurs fois. Puis, en 2017, Safran vend sa filiale biométrique au fonds d’investissement américain Advent, qui la fusionne avec une autre entreprise française : Oberthur Technologies, imprimeur high-tech et spécialiste en sécurité numérique. De là, naît Idemia, qui est aujourd’hui considérée comme une des entreprises leader dans le secteur « identité et sécurité », aux côtés de Thalès.
Une amende de huit millions d’euros
Mais la suite ne sera pas de tout repos. En 2017, le parquet national financier (PNF) reçoit un signalement de la National Crime Agency britannique. Il met sur pied une équipe pour enquêter avec elle. Leurs investigations mettront au jour un schéma de corruption : afin d’obtenir le marché des cartes d’identité à puce au Bangladesh, entre 2014 et 2016, Oberthur aurait surfacturé des prestations pour rémunérer un intermédiaire. Selon le PNF, il s’agissait d’"un apporteur d’affaires influent en Asie dans le secteur de l’identité, disposant de connexions avec l’autorité publique du Bangladesh".
Les enquêteurs du PNF ont retrouvé la trace d’un virement de 730 000 euros entre Oberthur et l’une des sociétés sous-traitantes. Ce paiement devait permettre de rémunérer un agent public bangladais, qui a joué un rôle dans l’attribution de ce marché. Résultat : Idemia (qui de fait a succédé à Oberthur) accepte de signer une convention judiciaire d’intérêt public avec le PNF en 2022. La société payera une amende de près de huit millions d’euros pour éviter un procès. Une partie de ses services sera interdite de concourir à des appels d’offres de la Banque mondiale pendant deux ans et demi. Un coup dur, car c’était un bailleur important pour l’entreprise, notamment pour ses marchés en Afrique.
Selon une enquête réalisée sur le marché de la biométrie électorale en Afrique par Marielle Debos et Guillaume Desgranges, tous les deux chercheurs à l’université Paris-Nanterre, Idemia fait en effet partie de ces acteurs français qui dominent le marché sur ce continent. En 2020, ils ont recensé au moins huit pays ayant utilisé ses technologies dans le cadre de scrutins électoraux.
Présence d’Idemia (M) pour chaque recensement biométrique électoral et corrélation entre nationalité des entreprises et ancienne puissance coloniale. (MARIELLE DEBOS ET GUILLAUME DESGRANGES, POUR AFRIQUEXXI)
Présence d’Idemia (M) pour chaque recensement biométrique électoral et corrélation entre nationalité des entreprises et ancienne puissance coloniale. (MARIELLE DEBOS ET GUILLAUME DESGRANGES, POUR AFRIQUEXXI)
Mais la médaille a un revers. En Côte d’Ivoire, le scrutin présidentiel de 2010, organisé avec l’aide d’Idemia - Safran, à l’époque - a été le plus cher jamais organisé en Afrique. « Il a battu tous les records avec un coût de quasiment 57 dollars par électeur, dont 46 pour la biométrie, explique Marielle Debos. La facture a atteint des sommes astronomiques en raison des retards pris par le projet. L’entreprise a réclamé 246 millions d’euros à l’État ivoirien ». Idemia justifie cette facture par le périmètre de la mission qui lui avait été confiée : « Il s’agissait d’une intervention qui va bien au-delà de l’organisation de l’élection. Il s’agissait également de procéder au recensement des populations ».
Cet épisode ne va cependant pas ternir l’image de l’entreprise, puisqu’elle signe de nouveaux contrats en Afrique dans la décennie qui suit, notamment au Kenya. En 2017, le pays prépare son élection présidentielle. Il souhaite s’équiper d’une technologie biométrique. Une démarche motivée par le souvenir douloureux des événements qui ont suivi les élections générales, dix ans plus tôt : « En 2007, suite à des contestations électorales, un certain nombre de violences ont conduit à la mort de quasiment 1 500 personnes en un mois et à plusieurs centaines de milliers de déplacés », précise Tomas Statius, journaliste au média à but non-lucratif Lighthouse Reports.
Une élection annulée
Dans l’espoir de ne pas reproduire les erreurs du passé, le Kenya décide donc de faire confiance à la technologie d’Idemia. La société française fournit un système d’inscription biométrique des électeurs, couplé à 45 000 tablettes permettant leur authentification le jour du scrutin. Ces tablettes peuvent également transmettre des formulaires comprenant les résultats de chaque bureau de vote, après leur décompte.
Mais dans les mois qui précèdent le scrutin, la commission électorale kényane s’inquiète. Les comptes-rendus de ses réunions, obtenus par Lighthouse Reports et le média d’investigation Africa Uncensored, révèlent « à la fois une impréparation des autorités kényanes, mais aussi de l’entreprise française, affirme Tomas Statius. Plusieurs commissaires électoraux kényans considèrent que le contrat a été signé à la hâte. Ils constatent aussi un certain nombre de dysfonctionnements durant les tests réalisés avant les élections ».
Démonstration de l’utilisation d’un kit d’enregistrement biométrique des électeurs (BVR) à Kasarani, Nairobi, le 6 novembre 2012. (SIMON MAINA / AFP)
Démonstration de l’utilisation d’un kit d’enregistrement biométrique des électeurs (BVR) à Kasarani, Nairobi, le 6 novembre 2012. (SIMON MAINA / AFP)
Le jour du scrutin, ces craintes deviennent réalité : « Ce sont d’abord des pannes, avec des tablettes qui n’ont pas assez de batterie pour fonctionner, poursuit Tomas Statius. Des problèmes d’internet évidemment, de 4G qui ne fonctionne pas. Il y a aussi des problèmes de lecture des résultats ». Tous ces dysfonctionnements conduiront la Cour suprême kényane à annuler l’élection. Les Kényans retourneront aux urnes deux mois plus tard. Comme la première fois, le président sortant, Uhuru Kenyatta, remportera l’élection, mais avec 98% des votes. Et il sera le seul candidat, l’opposant Raila Odinga ayant décidé de ne pas se représenter.
Dans sa réponse à la Cellule Investigation de Radio France, Idemia se félicite « d’avoir pu remplir avec succès ses engagements en faveur de la démocratie kényane, et réaffirme humblement aujourd’hui à quel point il peut considérer positivement le résultat des deux élections de 2017 » malgré un « contexte difficile ».
Cet échec ne va d’ailleurs pas l’empêcher de participer au programme de carte d’identité biométrique lancée par le gouvernement kényan l’année suivante. L’objectif était de créer un numéro d’identification unique pour chaque citoyen. L’idée, c’était de permettre, par la suite, d’accéder aux services de l’État via cet identifiant, lié aux données biométriques de la personne. Ce conditionnement d’accès aux services de l’État inquiète cependant une minorité ethnique dans le pays : les Nubiens. « La base de données se voulait être le seul outil permettant de vérifier une identité, explique Yassah Musa, responsable de l’ONG Nubian Rights Forum. Mais pour y être enregistré, il fallait présenter des documents tels qu’un certificat de naissance, une carte d’identité, un permis de conduire ou un passeport. Or, la communauté nubienne n’a toujours pas accès à ces documents officiels ».
Une femme kényane regarde une caméra biométrique, collecte de données générant un numéro unique qui permet d’accéder aux services gouvernementaux. (SIMON MAINA / AFP)
Une femme kényane regarde une caméra biométrique, collecte de données générant un numéro unique qui permet d’accéder aux services gouvernementaux. (SIMON MAINA / AFP)
En 2020, saisie par l’association Nubian Rights Forum, la Haute cour du Kenya reconnaît l’existence d’un risque d’exclusion : « Cela peut être le cas pour ceux qui n’ont pas de documents d’identité, ni de données biométriques, telles que les empreintes digitales. Nous pensons donc qu’une partie de la population risquerait d’être discriminée », peut-on lire dans sa décision. En 2021, la Haute cour suspendra ce système d’identité biométrique. De son côté, le Parlement kényan essaye d’interdire Idemia de tout contrat dans le pays pendant dix ans. Une décision qui sera finalement annulée par la Haute cour du Kenya.
Mais Idemia n’en a pas fini avec ce pays. En septembre 2022, l’ONG Data Rights, aux côtés d’autres associations notamment kényanes, a déposé une plainte auprès de la Commission nationale de l’informatique et des libertés (Cnil) en France. Lors du scrutin kényan, les données des votes des électeurs ont, en effet, été hébergées sur des serveurs européens. Or, en opérant à l’étranger, l’entreprise transporte avec elle ses responsabilités en matière de protection des données en Europe. Celles-ci ont-elles été suffisamment protégées, comme l’exige le RGPD, le règlement européen de protection des données ? C’est là-dessus que la Cnil va devoir se prononcer.
