Domaine technique

La présente invention concerne un support de données pour le contrôle d'entités, un dispositif et un procédé de contrôle d'entités destinés à utiliser un tel support de données, notamment aux limites territoriales d'un Etat, pour le contrôle de la provenance et de l'historique des différents déplacements de personnes désireuses de pénétrer dans l'Etat concerné, ou de la destination et de la validité du visa si requis lors de la sortie de l'Etat concerné.

Technique antérieure

Les supports de données et dispositifs de contrôle d'entités, sont fréquemment utilisés dans des domaines différents comme par exemple ceux du contrôle d'accès d'entités à des lieux ou à des services, de la sélection d'entités ou de la simple identification d'entités. Les entités contrôlées peuvent être des individus, des animaux ou des objets. Les supports de données et dispositifs de contrôle d'entités sont par exemple utilisés aux limites territoriales d'Etats, notamment pour gérer l'accès des entités à des moyens de transport tels que routiers, ferroviaires, aériens et maritimes. Les supports de données sont généralement attribués individuellement aux entités. Chaque support de données comporte par exemple une carte à puce dont la puce électronique contient, sous forme codée ou non, l'enregistrement des données relatives à l'identité de l'entité. Dans la suite de la description, on appelle puce électronique un circuit électronique miniature de type microprocesseur.

D'autres types de données telles que par exemple, des droits d'accès spécifiques, peuvent également être enregistrés sur le support de données. En des points de contrôle prédéterminés ou définis aléatoirement, les entités sont contrôlées au moyen de leur support de données. On vérifie alors par exemple l'identité de l'entité et son droit d'accès à une zone spécifique, son droit de sortie ou d'entrée sur un territoire. Les contrôles effectués peuvent être réalisés par des agents de contrôle, des systèmes automatisés ou toute combinaison. Les supports de données peuvent également comporter des données biométriques permettant de vérifier que l'entité porteuse du support de données correspond à l'entité enregistrée en tant que titulaire du support de données. Les usurpations d'identité sont ainsi évitées.

Dans le domaine des transports aériens, les supports de données et dispositifs de contrôle permettent notamment de s'assurer que les voyageurs embarquant dans l'avion correspondent aux passagers prévus et qu' ils ont acquittés le paiement du titre de transport correspondant. Les supports de données sont également utilisés pour autoriser l'accès à des espaces dédiés, à certaines catégories de voyageurs, espaces dédiés au sein desquels ils peuvent notamment accès à un confort amélioré.

Lors du départ de voyageurs, le contrôle d'accès effectué dans la zone d'embarquement est généralement réalisé par un agent de contrôle qui procède à la vérification de l' identité de chaque voyageur, par exemple au moyen de sa carte d'identité ou de son passeport. L' agent de contrôle émet ensuite une carte d' embarquement que le voyageur garde avec lui. Cette carte d'embarquement reprend généralement les données relatives à l'identité du voyageur et permet ainsi son contrôle ultérieur. Cette carte d'embarquement est un document papier ou, comme décrit dans la publication FR 2 891 640, une carte à puce pourvue d'une puce électronique.

Dans la publication FR 2 891 640, la carte à puce comporte une face pourvue d'une impression permanente et d'une face pourvue d'une impression effaçable et réinscriptible permettant notamment la mise à jour de la carte d'embarquement au fil des embarquements du voyageur. Dans le cas de cartes d'embarquement à puce, celles-ci peuvent en outre comporter des données biométriques permettant la vérification, en temps réel, que le voyageur la présentant est bien enregistré comme le titulaire de la carte d'embarquement.

Avant d'autoriser l'embarquement, l'agent de contrôle procède à un rapprochement documentaire entre la carte d'embarquement et une pièce d'identité (carte d'identité, passeport, ...) du voyageur. Avec un nombre de voyageurs de plus en plus élevé, ces opérations de rapprochements documentaires sont de plus en plus longues et laborieuses à réaliser. De plus elles imposent, à chaque voyageur, de manipuler à plusieurs reprises ses documents officiels et sa carte d'embarquement, d'où des risques de perte et de détérioration des documents et de la carte d'embarquement. De ce fait, les cartes d'embarquement à puce sont de plus en plus privilégiées car elles permettent de limiter les risques de falsification liés aux documents papier, d'éviter la détérioration du support de donnée et elles sont plus pratiques à manipuler d'où un confort amélioré pour les voyageurs. Elles permettent en plus des économies notables de papier.

Lorsque la carte d'embarquement est une carte à puce, le contrôle avant embarquement peut être réalisé en tout ou partie par le biais de moyens automatisés par exemple à l'aide d'un portique de contrôle automatique. Lorsque le voyageur arrive au niveau de ce portique de contrôle automatique, il présente sa carte d'embarquement devant une zone de lecture apte à contrôler les informations d'accès présentes sur la puce de la carte d'embarquement. Le voyageur présente un de ses yeux/l'un de ses doigts devant une zone d'identification apte à vérifier, en temps réel, la concordance entre l'œil/l'empreinte du doigt de l'individu se présentant au contrôle et celui/celle du titulaire de la carte d'embarquement. Le rapprochement documentaire peut ainsi être réalisé de manière automatique avant d'autoriser l'embarquement du voyageur.

A l'arrivée de voyageurs, par exemple dans les aéroports, la provenance des voyageurs peut être vérifiée afin de déterminer si un contrôle d'accès spécifique et/ou une surveillance particulière de certains voyageurs est à mettre en place. C'est par exemple le cas lorsque des voyageurs proviennent de territoires géographiques dits « sensibles » dans lesquels des actes de terrorisme sont fréquents ou connus pour la fréquence des trafics de stupéfiants les touchant. Cette vérification permet de déterminer la provenance du voyageur mais également les Etats dans lesquels ce voyageur a préalablement transité et/ou séjourné. Cette vérification est réalisée manuellement par un agent de contrôle qui consulte le passeport de chaque voyageur, prend note des différents tampons préalablement apposés sur le passeport par les différentes autorités territoriales qui ont préalablement validé l'entrée du voyageur sur leur territoire. Selon les consignes reçues ainsi que les mesures de sécurité en vigueur, en fonction des informations extraites de cette vérification, l'agent de contrôle orientera le voyageur vers un contrôle plus approfondi ou validera et autorisera le passage du voyageur qui sera alors libre d'entrer sur le territoire géographique de l'Etat. L'agent de contrôle peut également signaler à d'autres services de sécurité, le passage d'un voyageur méritant une surveillance complémentaire. Avec les moyens actuels, la vérification de la provenance et du parcours de chaque voyageur est une opération longue et fastidieuse qui génère de longues files d'attente de voyageurs. En pratique, pour éviter l'engorgement des zones d'arrivée et de contrôle des voyageurs entrant et pour limiter le mécontentement et l' inconfort _, des voyageurs, il est fréquent que tous les voyageurs ne soient pas contrôlés et que les vérifications ne soient effectuées que de manière sporadique, par exemple au hasard d'un contrôle statistique. Il est également fréquent que les contrôles soient réalisés plus rapidement qu'ils ne le devraient, au détriment de leur fiabilité et de leur qualité. Aussi, la vérification de l'entrée de personnes au niveau des frontières des Etats n'est pas optimale et ne permet pas d'assurer un filtre satisfaisant. Dans les transports groupés, en particulier dans les transports aériens, la vérification de la provenance et du parcours antérieur des voyageurs ne permet pas aujourd'hui de limiter de manière satisfaisante les risques d'attentats pendant le trajet. En effet, ces vérifications rencontrent les mêmes écueils que celles mises en place à l'entrée des personnes dans un Etat.

Il subsiste donc le besoin d'un support de données, d'un dispositif et d'un procédé de contrôle d'entités permettant de conserver un historique fiable et précis de l'appartenance d'une entité à différents groupes afin de permettre un contrôle fiable, rapide et systématique de cet historique, en particulier pour vérifier la provenance des voyageurs, leur parcours préalable et adopter des mesures adaptées en fonction de chaque cas.

Exposé de l'invention

La présente invention vise à remédier à ces inconvénients en proposant un support de données, un dispositif et un procédé de contrôle d'entités permettant de contrôler de manière efficace, fiable, systématique et au moins en partie automatisée des entités, en particulier des voyageurs, en fonction de leur provenance et des différents Etats par lesquels ils ont transités au cours de leur voyage ou par le passé, dans le respect des libertés individuelles et de la confidentialité des données relatives à chaque entité. Les supports de données, dispositif et procédé selon l' invention, visent ainsi à procurer des moyens techniques pour suivre l'historique de déplacement d'un passager et mieux cibler et gérer les risques potentiels que représentent les passagers en provenance de pays dits « sensibles ». L' invention concerne un support de données comportant au moins une zone d' identité apte à stocker des données d'identité relatives à l'identité de l'entité à laquelle il est destiné à être attribué, les données d'identité étant aptes à n'être accessibles que par au moins une unité de contrôle d'identité habilité. Le contrôle peut ainsi être réalisé de manière automatique, ou semi-automatique et supervisé par un agent de contrôle, ou être réalisé manuellement. Ce support de données est remarquable en ce qu' il comporte au moins une puce électronique pourvue d' au moins une zone de groupe apte à stocker des données de groupe relatives à l'appartenance de l'entité à au moins un groupe, les données de groupe étant protégées par au moins une porte afin de n'être accessibles que par au moins une unité de contrôle de groupe habilitée possédant une clé d'accès de ladite porte, la zone de groupe n'étant apte à être actualisée qu'au moyen d'une unité de mise à jour habilitée possédant une clé d'accès de ladite porte, l'actualisation se faisant par l'ajout d'au moins, une donnée de groupe complémentaire incrémentant , sans la (ou les) altérer, ladite (ou les) donnée (s) de groupe précédemment stockée (s) en fonction du passage de l'entité d'un groupe à un autre groupe pour générer un historique de l'appartenance de l'entité aux groupes successifs, la zone de groupe étant apte à conserver l'historique. Ce support de données permet ainsi de conserver un historique fiable et précis de l'appartenance d'une entité à différents groupes successifs afin de permettre un contrôle efficace, fiable et systématique de son appartenance à ces différents groupes. Dans le cas particulier du contrôle de voyageurs, le support de données permet de conserver l'historique des différents Etats par lesquels le voyageur a transité, les différents visas éventuellement utilisés, et de contrôler la provenance du voyageur. L'accès aux données d'identité et de groupe n'étant possible que pour des unités de contrôle d'entité, de groupe et de mise à jour, habilitées, les données de groupe et d' identité sont ainsi conservées sur le support de données, sans création de base de données externe, dans le respect des libertés individuelles et de la confidentialité des données relatives à chaque entité.

La puce électronique est de préférence agencée pour que la porte protégeant l'accès aux données de groupe soit choisie dans le groupe comprenant au moins une porte optique, une porte magnétique, une porte électronique, ces portes étant respectivement apte à être ouverte respectivement par une clé d'accès optique, magnétique, électronique.

Selon un mode de réalisation préféré, la puce électronique est une puce RFID pourvue de la porte électronique.

De manière avantageuse, la zone de groupe est agencée pour que les données de groupe soient accessibles par l'unité de contrôle de groupe habilitée, indépendamment des données d'identité. Cette construction permet d'assurer la confidentialité des données d' identité et des données de groupe qui ne sont ainsi accessibles qu'à des personnes habilitées .

La zone de groupe est de préférence apte à stocker les données de groupe de manière incrémentale, permanente et inaltérable. L'historique ainsi créé permet de conserver, de manière fiable, la traçabilité de l'appartenance de chaque entité à différents groupes.

Les zones d' identité et de groupe peuvent être distinctes. Par distinctes, on entend que les zones d' identité et de groupe peuvent être combinées en une même zone, un même emplacement, sur le support de données mais distinctes dans leur mode d'accès (porte ou autre) et/ou leur fonctionnement et/ou tout autre moyen permettant de la rendre distincte. On peut ainsi, de manière distincte et séquencée, accéder aux informations enregistrées dans la zone de groupe et à celles enregistrées dans la zone d'identité. Les données d'identité peuvent alors restées inaccessibles lors du contrôle des données de groupe et réciproquement pour les données de groupe lors du contrôle des données d'identité. La confidentialité des données individuelles est ainsi préservée. Par extension, on entend également par "des zones distinctes" des zones d'identité et des zones de groupe qui ont des emplacements différents, que ces zones d' identité et de groupe distinctes soient portées par la même puce électronique ou non.

Selon un mode de réalisation préféré de l'invention, le support de données comporte au moins une puce électronique pourvue simultanément d'au moins une des zones d'identité et de groupe.

Le support de données peut être choisi parmi au moins :

une carte à puce, un passeport (par exemple électronique) , un téléphone, un bracelet, une montre, un collier, une étiquette destiné (e) à être porté (e) par ladite entité, ou

un implant, destiné à être inséré dans ladite entité ou dans un objet associé à l'entité tel que par exemple un vêtement.

Le groupe dont il est fait référence plus haut et à l' origine de données de groupe est de préférence constitué par les entités ayant été présentes, à un moment donné, sur un territoire géographique donné, et les données de groupe actualisées sont de préférence relatives au franchissement par une entité de la limite territoriale de chaque territoire géographique et l'ensemble des données de groupe constituent de préférence un historique des limites territoriales franchies.

De même, les données de groupe sont avantageusement choisies dans le groupe comprenant au moins un logo d'un Etat, le code OACI d'un aéroport, la date de mise à jour. Ainsi, le tampon encreur généralement utilisé sur les passeports, est ici remplacé par un tampon électronique permettant de conserver l'historique de tous les Etats visités par chaque voyageur ou par lequel il a transité et ainsi d'autoriser ou non l'entrée de ce voyageur dans un autre Etat et/ou d'appliquer un niveau de vigilance approprié et/ou des mesures de sécurité adaptées.

Les données de groupe actualisées peuvent en outre comporter en outre la date de leur actualisation sur le support de données.

L' invention concerne également un dispositif de contrôle d'entités comportant une pluralité de supports de données, chaque support de données comportant des données d'identité relatives à l'entité à laquelle il est attribué, ce dispositif comportant des moyens de contrôle pourvus d'au moins une unité de contrôle d'identité et apte à accéder aux données d'identité. Le contrôle de l'identité peut ainsi être réalisé de manière automatique, ou semi- automatique et supervisé par un agent de contrôle, ou être réalisé manuellement. Ce dispositif est remarquable en ce qu' il comporte une pluralité de support de données tels que décrits précédemment, au moins une unité de mise à jour habilitée comportant au moins une clé d'accès de la porte protégeant l'accès des données de groupe apte à actualiser les données de groupe par l'ajout d'au moins une donnée de groupe complémentaire incrémentant , sans la (ou les) altérer, la (ou les) donnée (s) de groupe précédemment stockée (s), en fonction du passage de l'entité d'un groupe à un autre groupe pour générer un historique de l'appartenance de l'entité aux groupes successifs, l'historique étant conservé par la zone de groupe. La mise à jour des données de groupe peut ainsi être réalisée de manière automatique, ou semi-automatique et supervisée par un agent de contrôle, ou être réalisée manuellement. Ce dispositif est de plus remarquable en ce que les moyens de contrôle comportent également au moins une unité de contrôle de groupe habilitée comportant au moins une clé d'accès de la porte protégeant l'accès des données de groupe, l'unité de contrôle de groupe étant au moins en partie automatisée et apte à accéder aux données de groupe de chaque entité et à les contrôler. Le dispositif est enfin remarquable en ce qu' il comporte de. plus des moyens d'alerte couplés au moins à l'unité de contrôle de groupe et aptes à déclencher une alerte en fonction des données de groupe contrôlées par l'unité de contrôle de groupe. Le contrôle des données de groupe peut ainsi être réalisé de manière automatique, ou semi-automatique et supervisé par un agent de contrôle, -ou être réalisé manuellement. Ce dispositif selon l'invention permet ainsi de conserver et de vérifier, de manière fiable et efficace, l'historique d'appartenance des entités à différents groupes successifs afin de permettre un contrôle efficace, fiable et systématique de leur appartenance présente ou passée à ces différents groupes tout en respectant des libertés individuelles et la confidentialité des données relatives à chaque entité.

La clé d'accès de l'unité de mise à jour et de l'unité de contrôle de groupe est de préférence choisie dans le groupe comprenant au moins une clé d'accès optique, une clé d'accès magnétique, une clé d'accès électronique apte à ouvrir respectivement une porte d'accès optique, magnétique, électronique.

L'une au moins des unités de mise à jour, unité de contrôle de groupe, comporte avantageusement un microprocesseur RFID pourvu de la clé électronique.

L'unité de mise à jour est avantageusement géographiquement distante de l'unité de contrôle de groupe.

De manière préférée, l'unité de mise à jour et l'unité de contrôle de groupe sont respectivement prévues dans au moins un lieu de passage des entités conduisant à l'entrée/la sortie d'au moins un premier/second territoire géographique chaque territoire géographique définissant un des groupes. Ce lieu de passage des entités est par exemple choisi parmi au moins les aéroports, les ports, les gares, les postes de frontières routiers.

L'unité de contrôle de groupe est avantageusement couplée à des moyens de blocage aptes à empêcher le passage de l'entité d'un groupe à un autre groupe en fonction des données de groupe contrôlées. Ces moyens de blocage sont par exemple choisis dans le groupe comprenant au moins une porte, une barrière, un sas.

L'unité de contrôle d'identité est avantageusement combinée à l'une au moins des unités de contrôle de groupe et/ou de mise à jour. Cette configuration permet ainsi, de contrôler simultanément l'identité et le groupe de l'entité ou de contrôler l'identité tout en actualisant les données de groupe d'une même entité. L' invention concerne enfin un procédé de contrôle d'entités au cours duquel on procède à l'attribution à au moins une entité, d'au moins un support de données comportant des données relatives à l'identité de l'entité. Ce procédé est remarquable en ce que l'on utilise un support de données et un dispositif tels que décrits précédemment, et en ce que le procédé comporte également au moins les étapes suivantes :

la mise à jour, l'enregistrement et le stockage sur le support de données, des données de groupe relatives au changement de groupe de l'entité, pour constituer, au fil des mises à jour, un historique des groupes auxquels l'entité a appartenu,

le contrôle et le filtrage des données de groupe de l'entité pour vérifier l'historique des données de groupe et, en fonction des données de groupe contrôlées, valider ou non le contrôle.

Ce procédé permet la conservation et le contrôle, fiable et efficace, de l'historique d'appartenance d'entité à différents groupes successifs afin de permettre un contrôle efficace, fiable et systématique, de son appartenance à ces différents groupes tout en respectant des libertés individuelles et la confidentialité des données relatives à chaque entité. Il est ainsi possible de prendre les mesures adaptées au résultat du contrôle de l'historique d'appartenance aux différents groupes ou à certains groupes spécifiques .

On effectue de préférence au moins l'une des étapes de mise à jour, de contrôle et de filtrage, en un lieu de passage des entités conduisant à l'entrée/la sortie d'au moins un premier/second groupe. Lorsque les groupes définissent les personnes présentes sur un territoire géographique donné, ce lieu de passage est par exemple un aéroport, un port, une gare, un poste de frontière routier. L'historique des données de groupe est ainsi plus fiable que si la mise à jour avait lieu dans le groupe, par exemple sur le territoire géographique par le biais d'une mise à jour aléatoire. De même, la sécurité du groupe, par exemple des habitants d'un territoire géographique, est mieux renforcée par des contrôles réalisés à l'entrée du groupe, par . exemple aux frontières du territoire géographique, que par des contrôles aléatoires qui seraient effectués dans le groupe, sur le territoire géographique. Il y a en effet risque dans ce cas de recontrôler des personnes ayant déjà été contrôlées et que d'autres personnes non contrôlées ne le soient jamais.

Le procédé comprend avantageusement au moins une étape préalable de définition de critères au cours de laquelle on définit des critères de contrôle d'admissibilité positifs/ négatifs d'une entité dans un groupe. De plus, lors de l'étape de filtrage, on s'interdit de valider, sans étape supplémentaire, le passage des entités dont les données de groupe contrôlées ne correspondent pas/correspondent aux critères de contrôle d'admissibilité positifs/ négatifs.

Lorsque les données de groupe contrôlées ne sont pas validées, on effectue avantageusement au moins l'une des étapes suivantes :

le blocage du changement de groupe par ladite entité, - l'émission d'un signal d'alerte.

Description sommaire des dessins

L'invention est décrite ci-après, à titre d'exemple non limitatif, en référence aux dessins annexés sur lesquels : ⁰

• La figure 1 est une vue schématique d'un support de données selon l'invention, ce support de données comportant une zone d'identité et une zone de groupe, cette figure détaille sur la droite une partie du contenu éventuel de la zone d' identité reliée pour plus de clarté au support de données par une ligne de pointillés ;

• La figure 2 est une vue schématique du dispositif de contrôle d'entités selon l'invention ;

• La figure 3 est une vue schématique d'une première application des supports de données, dispositif et procédé de contrôle d'entités selon l'invention ;

• La figure 4 est une vue schématique d'une seconde application des supports de données, dispositif et procédé de contrôle d'entités selon l'invention ;

• La figure 5 est une vue schématique d'une troisième application des supports de données, dispositif et procédé de contrôle d'entités selon l'invention.

Les différents modes de réalisation détaillés dans la suite de la description sont concentrés sur l'utilisation de supports de données, un dispositif de contrôle d'entités et la mise en œuvre d'un tel dispositif par un procédé de contrôle d'entités, appliqués à des individus, en particulier à des voyageurs, pour gérer les entrées et sorties territoriales de ces voyageurs, notamment au niveau des aéroports. Il est bien entendu que, de manière plus générale, le terme entité s'applique aussi bien à un individu qu'à un animal ou à un objet et que l'invention n'est pas limitée à son application dans les aéroports mais est envisagée dans toute autre configuration de contrôle. De même, on décrit ci-après un support de données se présentant sous la forme d'une carte à puce. Il est bien entendu que le support de données peut être d'une autre nature, par exemple :

- un passeport électronique, un téléphone, un bracelet électronique, une montre, porté (e) par un individu, un collier porté par un animal,

une étiquette apposée sur un objet,

un implant inséré dans le corps d'un individu, d'un animal ou dans un objet.

L'implant peut par exemple être inséré dans l'uniforme d'un agent de sécurité, d'un agent navigant ou d'un militaire aux fins de gérer les accès dédiés et l'historique des déplacements de ces personnes.

Le support de données peut comporter des données visibles à l'œil et des données invisibles, notamment des données pour lecture optique (zone MRZ, code barre 3D) , pour lecture magnétique, pour lecture électronique (RFID, NFC, Wifi, Bluetooth, Lan, Wmax, Skype, GSM, ... ) ou toute combinaison.

Meilleure manière de réaliser l'invention

En référence à la figure 1, le support de données 1 selon l'invention se présente sous la forme d'une carte à puce. Cette carte à puce 1 est par exemple réinscriptible comme celle décrite dans la publication FR 2 891 640. Elle peut comporter des informations sur une ou ses deux faces. Parmi les informations réinscriptibles que la carte à puce 1 peut comporter, on compte notamment les informations relatives à l'embarquement du voyageur, telles que notamment le numéro de vol, la place réservée, l'horaire de départ prévu. La carte à puce 1 comporte une puce électronique 2 schématisée par un rectangle. Cette puce électronique 2 peut être visible et apparente sur l'une ou sur les deux faces de la carte à puce 1. Elle peut également être non apparente, par exemple noyée dans la masse de la carte à puce 1.

La puce électronique 2 comporte une zone d'identité 3 apte à stocker des données d' identité relatives à l'identité de l'entité à laquelle le support de données 1 est destiné à être attribué. Ces données d'identité comportent par exemple le nom, le prénom, la date de naissance, l'empreinte biométrique d'un ou plusieurs doigts ou de l'œil, la photographie du visage ou de la tête. Dans le cas d'un animal, ces données d'identité peuvent comporter la date de naissance de l'animal, sa race. Ces données d' identité sont enregistrées par la puce électronique 2 et stockées dans la zone d'identité 3. Les données d' identité sont encodées par des moyens traditionnels afin de rendre difficile leur accès par des moyens non habilités.

Le contrôle des données d'identité peut être effectué manuellement, automatiquement ou semi-automatiquement . De plus, il peut être réalisé de manière absolue, par comparaison, par rapprochement ou par toute méthode combinée. Dans le cas d'un contrôle absolu, les données d'identité sont examinées individuellement afin de s'assurer qu'il n'y a aucune anomalie. Dans le cas d'un contrôle par comparaison, les données d' identité sont comparées à des données d' identité préalablement stockées et accessibles par l'unité de contrôle de groupe. Dans le cas d'un contrôle par rapprochement, les données d'identité sont comparées à l'entité qui se présente au contrôle, par exemple en, comparant en temps réel la photographie ou l'empreinte stockées parmi les données d'identité à celle de l'entité physique. Pour le contrôle de données biométriques, on utilise un équipement de capture biométrique spécifique permettant de capturer l'empreinte biométrique de l'individu se présentant au contrôle et de la comparer en temps réel à l'empreinte biométrique stockée parmi les données d'identité. Les données d'identité sont stockées de manière permanente et inaltérable ou de manière à pouvoir les faire évoluer (changement de nationalité, ...) . A cet effet, comme décrit plus loin le dispositif de contrôle de données peut comporter une unité d'actualisation (non représentée) destinée à actualiser les données d'identité.

La puce électronique 2 comporte également une zone de groupe 4 apte à stocker, de manière permanente et inaltérable, des données de groupe relatives à l'appartenance de l'entité à un groupe. Les données de groupe sont par exemple relatives à l'appartenance au groupe constitué par les individus ayant été présents, à un moment donné, sur un territoire géographique donné. A cet effet, les données de groupe peuvent comporter le code d'un territoire géographique, le logo d'un Etat, le code OACI d'aéroports de départ indiquant ainsi la provenance de chaque individu et les aéroports par lesquels il a transité. Dans la suite de la description en entend par territoire, un territoire géographique. Dans le cas d'un animal, ces données de groupe peuvent comporter les références d'un cheptel, une origine géographique, les références d'un troupeau, les coordonnées d'une exploitation agricole.

Ces données de groupe sont enregistrées par la puce électronique 2 et stockées dans la zone de groupe 4. Comme détaillé plus loin, ces données de groupe sont destinées à être mises à jour au fil des déplacements des entités, d'un groupe à un autre, afin de conserver, dans la zone de groupe 4, un historique précis de l'appartenance de l'entité à ses groupes successifs. A cet effet, les données de groupe comprennent la date de mise à jour des données de groupe. Les données de groupe sont encodées par des moyens traditionnels afin de rendre difficile leur accès par d'autres moyens non habilités.

Les données d' identité/de groupe sont stockées dans respectivement la zone d'identité 3/de groupe 4, de manière à pouvoir être reconnues par une unité de contrôle d'identité/de groupe habilitées, aptes chacune à lire les données de d'identité/de groupe et autoriser leur contrôle. La carte à puce 1 comporte de préférence une puce électronique 2 de type RFID, l'accès aux données stockées étant protégé par une porte électronique de manière à ce qu'elles ne soient accessibles que par des moyens de communication RFID ou de types équivalents habilitées, c'est-à-dire possédant une clé électronique d'accès à la porte électronique. Dans d'autres exemples l'accès des données d' identité et de groupe de la puce électronique est protégé par une porte optique ou par une porte magnétique. Dans ces cas, les données d'identité et de groupe stockées dans la puce électronique ne seront accessibles qu' à des unités de contrôle d'identité, de groupe comportant une clé optique ou magnétique compatible avec la porte optique ou magnétique .

Selon une variante de réalisation non représentée, le support de données peut comporter plusieurs puces électroniques dédiées chacune à une application. Il est ainsi possible de prévoir une puce électronique dédiée aux données d' identité et une autre puce électronique dédiée aux données de groupe. Les zones d'identité et de groupe sont ainsi physiquement distinctes et distantes.

Selon une variante de réalisation non représentée, le support de données comporte plusieurs zones d' identité et/ou plusieurs zones de groupe, chacune de ces zones étant par exemple destinée à être utilisée par une application spécifique. Ainsi, selon l'application et les moyens de contrôles, certaine données d'identité, de groupe resteront inaccessibles lors du contrôle respectivement des données de groupe, d'identité, ces données d'identité, de groupe restant alors confidentielles.

Le support de données peut également comporter d'autres zones de données, par exemple relatives à la santé, à des droits d'accès, à des avantages acquis ou à toute autre information utilisable pour le contrôle et/ou l'identification de l'entité. Ces autres zones de données sont intégrées à la puce électronique comportant les zones d' identité et de groupe ou à une puce électronique complémentaire .

En plus des zones de données préalablement décrites, le support de données peut comporter d'autres données, par exemple au moyen d'une inscription, d'un code barre 3D, d'une zone MRZ ou ZML (Machine Readable Zone en anglais, Zone Machine lisible en français), d'un bande magnétique.

La figure 2 illustre un premier mode de réalisation, préféré, du dispositif 10 de contrôle d'entités selon l'invention. Afin d'illustrer ce premier mode de réalisation, on considère dans cet exemple, deux groupes 5a, 5b distincts d' individus 6a, 6b, chaque individu 6a, 6b définissant une entité distincte. Chaque groupe 5a, 5b est constitué des individus présents sur un territoire donné. Le premier groupe 5a est ainsi constitué des individus 6a présents sur un premier territoire. Une partie des individus 6a du premier groupe 5a est individuellement porteur d'un support de données 1 tel que précédemment décrit. L'autre partie des individus 6a ne possède pas de support de données selon l'invention. Il en va de même pour les individus 6b du second groupe 5b. Les supports de données 1 peuvent être attribués à la demande d'individus 6a, 6b désireux de changer de territoire, que ce changement soit provisoire ou permanent. Les supports de données 1 peuvent également être créés de manière unique et anticipée et attribués à l'avance à chaque individu 6a, 6b. Ainsi, chaque individu 6a, 6b peut se voir attribuer un support de données 1 qui le suivra toute sa vie. Chaque individu 6a, 6b peut également se voir attribuer plusieurs supports de données 1 qu'il utilisera successivement, chaque support de données 1 pouvant avoir une période de validité prédéterminée différente de celle des autres supports de données 1. Chaque individu 6a, 6b peut enfin se voir attribuer plusieurs supports de données 1 qu' il utilisera simultanément ou successivement, chaque support de données 1 étant par exemple dédié à une ou plusieurs applications différentes de celles des autres supports de données 1.

Le dispositif 10 comporte une unité de contrôle d'identité 11 permettant de réaliser un contrôle par comparaison des données d' identité et ainsi de vérifier, en temps réel, qu'il y a bien concordance entre les données d'identité du support de données 1 et l'individu 6a, 6b porteur du support de données 1. Dans cet exemple, cette unité de contrôle d' identité 11 est automatique et prévue à la sortie du premier territoire, sortie à laquelle se présentent les individus 6a, 6b désireux de quitter le premier territoire en question et donc le premier groupe 5a.

Le dispositif 10 comporte également au moins une unité de mise à jour 12 permettant d'actualiser les données de groupe 4 en indiquant la sortie du premier territoire et donc le fait que l'individu 6a, 6b a quitté le premier groupe 5a. Dans cet exemple, cette unité de mise à jour 12 est automatique et prévue à la sortie du premier territoire et combinée avec l'unité de contrôle d'identité 11. Cette unité de mise à jour 12 permet donc d'enregistrer, dans la zone de groupe 4, de manière permanente et inaltérable, des données relatives au fait que l'individu 6a, 6b quitte le premier territoire et donc le premier groupe 5a. Ces données comportent par exemple l'horaire et la date de franchissement de la frontière délimitant le premier territoire, le lieu de franchissement de cette frontière, l'identification du premier territoire. Les données de groupe peuvent également être complétées par la destination du voyageur, le type de document utilisé par le voyageur pour s'authentifier, le type de visa utilisé si requis pour entrer dans le pays, le type de transport utilisé (routier, aérien, ferroviaire, maritime) , la référence du transporteur routier, aérien, ferroviaire, maritime, l'identification du véhicule. Ces données peuvent être portées par la puce électronique 2, un code barre, une zone MRZ ou tout autre moyen adapté. Le dispositif 10 peut bien entendu comporter plusieurs unités de mise à jour 12 dont notamment une seconde unité de mise à jour (non représentée) prévue à l'entrée/la sortie du second territoire et permettant d'enregistrer, dans la zone de groupe 4, des données relatives au fait que l'individu 6a, 6b entre/quitte le second territoire. A chaque mise à jour, les données de groupe sont conservées dans la zone de groupe 4 sans altération des données de groupe préalablement enregistrées. Ainsi, la zone de groupe 4 contient l'historique des différentes données de groupe, actualisé au fil des changements de groupe 5a, 5b de l'individu 6a, 6b.

Le dispositif 10 comporte enfin au moins une unité de contrôle de groupe 13 permettant de contrôler les données de groupe 4 des individus 6a, 6b se présentant à l'entrée du second territoire et donc du second groupe 5b. Dans cet exemple, cette unité de contrôle de groupe 13 est automatique et prévue à l'entrée du second territoire et apte à contrôler les données de groupe actualisées, en particulier par l'unité de mise à jour 12 à la sortie du premier territoire. Cette unité de contrôle de groupe 13 est bien entendu apte à contrôler tout l'historique des mises à jour successives des données de groupe. L'unité de contrôle de groupe 13 peut également être combinée à une unité de contrôle d'identité (non représentée) permettant de vérifier l'identité de l'individu 6a, 6b à l'entrée du second territoire. De même, comme décrit plus loin, l'unité de contrôle de groupe 13 peut être couplée à des moyens de blocage, par exemple une porte, une barrière, un sas, aptes à empêcher le passage d'un individu 6a, 6b dans le second territoire en fonction des données de groupe contrôlées.

De manière avantageuse, les données de groupe sont accessibles de manière indépendante par rapport aux données d'identité. Il est alors possible de contrôler les seules données de groupe sans avoir accès aux données d' identité et réciproquement. Les droits d'accès aux différentes données peuvent ainsi être accordés de manière discriminante pour n'autoriser l'accès aux données personnelles et/ou confidentielles qu'à des personnes spécifiquement habilitées pour les consulter. Ainsi, la confidentialité des données personnelles est préservée.

Le dispositif 10 de contrôle d'entités peut bien entendu comporter plusieurs unités de contrôle de groupe 13 dont notamment une seconde unité de contrôle de groupe (non représentée) prévue à l'entrée du premier territoire et permettant de contrôler les données de groupe des individus 6a, 6b se présentant à l'entrée du premier groupe 5a, par exemple en provenance du second territoire. Le dispositif 10 selon l'invention peut comporter un nombre supérieur d'unité de contrôle d'identité Il/de groupe 12 et d'unité de mise à jour 12. Chaque territoire et groupe 5a, 5b peut ainsi disposer de plusieurs de ces unités de contrôle d'identité Il/de groupe 13 et d'unité de mise à jour 12, disposées dans des lieux de passage des individus 6a, 6b conduisant à l'entrée/la sortie du territoire en question, par exemple dans les aéroports, les ports, les gares, les postes de frontières routiers. Bien entendu, seuls les individus 6a, 6b titulaires d'un support de données 1 selon l'invention pourront bénéficier des avantages du dispositif 10 selon l'invention. On comprend bien que l'automatisation des opérations de contrôle permet de les réaliser à une cadence plus élevée que lorsqu'elles sont, en tout ou partie, réalisées par un agent de contrôle et de mise à jour. De plus, les moyens automatiques permettent de fiabiliser les contrôles réalisés en supprimant les risques d'erreurs humaines, le caractère subjectif de l'interprétation des différences et des ressemblances notamment entre une photo et un visage et en augmentant les capacités d'analyse.

Comme illustré plus loin le dispositif 10 selon l'invention peut comporter des moyens d'alerte couplés aux moyens de contrôle de groupe et aptes à déclencher une alerte si les données de groupe contrôlées correspondent à des critères prédéterminés.

En référence toujours à la figure 2, on décrit ci- après le procédé de contrôle d' entités permettant de mettre - en œuvre le support de données 1 et le dispositif 10 de contrôle d'entités tels que décrits précédemment. Dans un premier temps, on attribue individuellement un support de données 1 aux individus 6a d'un premier groupe 5a (premier territoire). Lorsque l'un des individus 6a souhaite quitter ce premier groupe 5a, il se présente à une frontière du premier territoire correspondant équipée de moyens de contrôle comportant notamment d'une unité de contrôle d'identité 11. Les données d'identité de l'individu 6a, stockées dans la zone d'identité 3 du support de données 1, sont contrôlées par l'unité de contrôle d'identité 11. Lorsque le support de données 1 est de type RFID, on utilise une unité de contrôle d' identité 11 comportant un émetteur RFID. Si les données d'identité ou l'identité elle-même de l'individu le nécessitent, une alerte est déclenchée automatiquement par l'unité de contrôle d'identité 11 afin d'alerter les autorités compétentes qui peuvent alors réagir en conséquence.

De plus, on utilise une unité de mise à jour 12 pour mettre à jour les données de groupe contenues dans la zone de groupe 4 en indiquant que l'individu 6a est "sortant" du premier groupe 5a. Lorsque le support de données 1 est de type RFID, on utilise une unité de mise à jour 12 comportant un émetteur RFID. La donnée indiquant que l'individu 6a est "sortant" de ce premier groupe 5a est équivalente à celle indiquant que l'individu a été présent sur le premier territoire jusqu'à la date de mise à jour des données de groupe. Si l'individu 6a quitte pour la première fois un territoire, et en particulier le premier groupe 5a, la donnée concernant sa sortie du premier groupe 5a sera la seule donnée disponible dans la zone de groupe 4. Si par contre l'individu 6a a déjà transité par un ou plusieurs autres territoires ou séjourné dans ces autres territoires, et donc appartenu à plusieurs autres groupes, la donnée de groupe concernant sa sortie du premier groupe 5a viendra s'ajouter, de manière distincte, aux autres données de groupe préalablement enregistrées, sans altérer ces autres données de groupe. Ainsi, le support de données 1 conserve un historique inaltéré et inaltérable de tous les territoires par lesquels l'individu a transité, chacune de ces données de groupe étant contrôlable individuellement.

Lorsque l'individu 6a qui a quitté le premier groupe 5a souhaite entrer dans second groupe 5b, il se présente à la frontière du second territoire correspondant, équipée d'une unité de contrôle de groupe 13. Cette unité de contrôle de groupe 13 contrôle les données de groupe enregistrées dans la zone de groupe 4 du support de données 1. Pour ce faire, l'unité de contrôle de groupe 13 accède en lecture aux données de groupe en utilisant la clé d'accès de la porte protégeant les données de groupe. L'unité de contrôle de groupe 13 procède ensuite à une opération de filtrage consistant à vérifier si des données de groupe présentes dans l'historique répondent aux critères de contrôle d'admissibilité préalablement établis. Lorsque le support de données 1 est de type RFID, on utilise une unité contrôle de groupe 13 comportant un émetteur-récepteur RFID pourvue d'une clé électronique.

Les critères de contrôle d'admissibilité peuvent être des critères positifs correspondants par exemple au fait pour un individu 6a, 6b d'avoir appartenu à un groupe 5a, 5b spécifique, par exemple d'avoir été présent sur un territoire prédéterminé. Ces critères de contrôle d'admissibilité peuvent également être des critères négatifs correspondant par exemple au fait pour un individu 6a, 6b de n'avoir pas appartenu à un groupe 5a, 5b spécifique, par exemple de n'avoir pas été présent sur un territoire déterminé. Les critères de contrôle d'admissibilité peuvent être conditionnels et nécessiter, pour être remplis, la concordance avec une condition complémentaire, par exemple la présence ou l'absence de l'individu 6a, 6b, sur un territoire déterminé, avant ou après une date déterminée ou pendant une période déterminée. Les critères de contrôle d'admissibilité peuvent également être séquentiels et nécessiter, pour être remplis, que l'individu 6a, 6b ait été présent sur certains territoires selon un ordre préétabli de sa présence sur ces territoires . Si les données de groupe sont validées, après comparaison avec les critères de contrôle d'admissibilité, l'entrée dans le second groupe 5b de l'individu 6a est autorisée. Si les données de groupe ne sont pas validées, on s'interdit de valider, sans étape supplémentaire, l'entrée dans le second groupe 5b de l'individu 6a. L'étape supplémentaire peut consister à autoriser l'entrée de l'individu 6a après lancement d'une opération supplémentaire. Selon le lieu de contrôle, plusieurs opérations peuvent être lancées. On peut par exemple bloquer l'individu 5a, 5b physiquement pour l'empêcher de pénétrer sur le second territoire pendant une période de vérifications approfondies et/ou émettre un signal d'alerte pour avertir des autorités compétentes afin de mettre en place des mesures de surveillance adaptées de l'individu 6a sur le territoire.

A l'arrivée dans le second groupe 5b, les données d'identité peuvent également être contrôlées par une unité de contrôle d'identité non représentée.

Le dispositif 10 fonctionne de manière similaire lorsqu'un individu 6b passe du second groupe 5b au premier groupe 5a. Pour une meilleure lisibilité, les unités de mise à jour, de contrôle d'entité et de groupe correspondant à ce fonctionnement réciproque n'ont pas été représentées.

Dans une variante de réalisation non représentée, on utilise une unité de contrôle de groupe en sortie du premier territoire. Ainsi, si les données de groupe ne sont pas validées à la sortie du premier territoire, l'individu ne peut pas quitter le premier territoire en question sans qu'une étape supplémentaire ne soit accomplie. Cette étape supplémentaire peut par exemple consister à enregistrer sur le support de données une information d'alerte spécifique. Le fait de pouvoir empêcher l'individu de quitter un territoire particulier permet notamment de limiter les risques d'attentat pendant le voyage des autres individus. Cet aspect sécurité est particulièrement important pour les voyages groupés d'individus, notamment par avion.

La figure 3 illustre une application au transport par avion de voyageurs 6a, du dispositif 10 de contrôle d'entités de la figure 2, ce transport étant effectué entre un premier territoire géographique donné (premier groupe 5a) et un second territoire géographique donné (second groupe 5b) . Dans cette application, chaque voyageur 6a est donc considéré comme une entité. Au départ, chaque voyageur 6a se présente à une zone de contrôle, prévue à la sortie du premier groupe 5a, et au niveau de laquelle il soumet son support de données 1 au contrôle. Les données d'identité sont ainsi contrôlées, avant la sortie du premier groupe 5a, par l'unité de contrôle d'identité 11. Cette unité de contrôle d'identité 11 est automatique. En cas d'anomalie détectée par l'unité de contrôle d'identité 11, celle-ci met en œuvre des moyens d'alerte pour prévenir un agent de sécurité 7 qui intervient pour prendre les mesures adaptées à la situation rencontrée. De plus, les données de groupe sont mises à jour par l'unité de mise à jour 12. Cette unité de mise à jour 12 est également automatisée et enrichit l'historique des données de groupe par l'indication que le voyageur 6a quitte le premier groupe 5a. Il est également possible, simultanément au contrôle des données d' identité et à la mise à jour des données de groupe, de vérifier que l'individu 6a porteur du support de données 1 a bien acquis un droit d'embarquement correspondant au vol pour lequel il se présente. A l'arrivée, chaque voyageur 6a se présente à une zone de contrôle, prévue à l'entrée du second groupe 5b, et au niveau de laquelle il soumet au contrôle son support de données 1. Les données de groupe contenues dans la zone de groupe 4 du support de données 1 sont contrôlées par un portique formant l'unité de contrôle de groupe 13 et au travers duquel chaque voyageur 6a "entrant" passe. Les opérations de contrôles sont réalisées de manière automatique. L'unité de contrôle de groupe 13 vérifie, à la volée, les territoires par/dans lesquels le voyageur 6a a précédemment transité/séjourné, avertissant, en cas de nécessité, un agent de sécurité 7 pour les vols intérieurs et les autorités de police 7 pour les vols internationaux.

Le dispositif 10 fonctionne de manière similaire lorsqu'un voyageur 6b passe du second groupe 5b au premier groupe 5a. Pour une meilleure lisibilité, les unités de mise à jour, de contrôle d'entité et de groupe correspondant à ce fonctionnement réciproque n'ont pas été représentées .

Description de variantes de réalisation

La seconde application illustrée par la figure 4 est sensiblement similaire à celle de la figure 3. Lors du départ du voyageur 6a du premier groupe 5a, en sortie du premier territoire, les données de groupe du voyageur 6a sont mises à jour par l'unité de mise à jour 12 gérée par un agent de contrôle 8. Les données d'identité du voyageur 6a sont contrôlées par ce même agent de contrôle 8 au moyen d'une unité de contrôle d'identité 11. A l'arrivée du voyageur 6a au second groupe 5b, à l'entrée du second territoire, un agent de contrôle 8 veille au contrôle, par l'intermédiaire d'une unité de contrôle de groupe 13, des données de groupe contenues dans la zone de groupe 4 du support de données 1. Dans cet exemple, les opérations de contrôles sont réalisées de manière semi-automatique. En cas de non validation des données de groupe, un agent de sécurité 7 est alerté. Le dispositif 10 fonctionne de manière similaire lorsqu'un voyageur 6b passe du second groupe 5b au premier groupe 5a. Pour une meilleure lisibilité, les unités de mise à jour, de contrôle d'entité et de groupe correspondant à ce fonctionnement réciproque n'ont pas été représentées.

La troisième application illustrée par la figure 5 est sensiblement similaire à celle de la figure 3. Elle s'en différencie par le fait que les unités de mise à jour 12 et de contrôle d'identité 11 du premier groupe 5a gérées par un agent de contrôle 8 sont aptes à alerter un agent de sécurité 7 en cas d'anomalie. Par ailleurs, à l'arrivée du voyageur 6a dans le second groupe 5b, l'unité de contrôle de groupe 13 est directement gérée par un agent de sécurité 7 apte à agir en cas d'anomalie.

Selon un mode de réalisation non représenté, le dispositif de contrôle d'entité selon l'invention permet également de mettre à jour, si besoin, les données d'identité, notamment lorsque le voyageur quitte l'un des groupes .

Les différents modes de réalisation décrits précédemment peuvent bien entendu être combinés, en particulier pour s'adapter aux exigences des législations nationales . Possibilités d'application industrielle

Les supports de données 1, dispositif 10 et procédé de contrôle d'entité sont avantageusement utilisé pour contrôler la provenance de voyageurs 6a, 6b et donner les moyens aux autorités compétentes d' agir avant d' accepter l'entrée d'un voyageur 6a, 6b sur leur territoire ou l'embarquement d'un voyageur 6a, 6b dans un moyen de transport tel que notamment un avion. Il ressort de la présente description que l' invention répond bien aux buts fixés et qu'elle permet notamment la conservation fiable et précise de l'historique des territoires (groupes 5a, 5b) précédemment visités par chaque voyageur 6a, 6b, de contrôler de manière rapide et efficace cet historique avant de décider de donner l'autorisation ou non de changement de territoire et/ou d'embarquement à ce voyageur 6a, 6b, ces vérifications étant réalisées dans le respect des libertés individuelles et de la confidentialité des données relatives à chaque voyageur. Les transports sont ainsi sécurisés. De même, la sécurité intérieure de chaque Etat est ainsi mieux contrôlée, au moins par le filtrage des individus 6a, 6b autorisés à entrer sur ce territoire. L'invention permet en outre de supprimer la nécessité de document papier, qui sont plus facilement falsifiables et plus fragiles que le support de données 1 selon l'invention. Le support de données 1 peut par ailleurs contenir un nombre de données important qui nécessiterait plusieurs supports papier si elles devaient être inscrites sur du papier. L'invention permet donc une économie de support, renforcée par le fait que les supports de données 1 sont réutilisables. L'invention permet enfin d'améliorer le confort des voyageurs 6a, 6b qui voient les formalités avant embarquement et avant entrée dans un territoire simplifiées, réalisées à la volée et au moyen d'un support de données 1 unique par des moyens automatisés rapides. L'invention permet aussi de simplifier le travail des agents de contrôle 7 qui n'ont plus de rapprochement documentaire à effectuer.

Il est bien entendu que l'invention peut être appliquée à toute autre application impliquant le passage d'entités d'un groupe à un autre. Ainsi, la notion de groupe est très large et peut inclure des associations, des groupements professionnels, des clubs d'activités, ...

De même, l'invention peut être utilisée pour le contrôle d'emballages passant d'une zone de stockage à une autre et dont on veut suivre l'historique, par exemple pour s'assurer que les emballages n'ont pas transités par une zone polluée. Dans ce cas, le support de données peut se présenter sous la forme d'une étiquette collée sur l'emballage, cette étiquette comportant une puce électronique pourvue des zones d'identité et de groupe.

L' invention peut également être utilisée pour le contrôle d'animaux passant d'une exploitation agricole à une autre ou à un abattoir et dont on veut suivre l'historique, par exemple pour s'assurer que les animaux n'ont pas transités par une zone contaminée par une maladie. Dans le cas, le support de données peut se présenter sous la forme d'un implant inséré sous la peau de chaque animal, cet implant comportant une puce électronique pourvu des zones d'identité et de groupe.

Il est bien entendu que les exemples décrits ne sont que des illustrations particulières et en aucun cas limitatives des domaines d'application de l'invention. L'Homme de l'art pourra apporter des aménagements aux exemples de réalisations particuliers sans pour autant sortir du cadre de la présente invention. Ainsi, le support de données, le dispositif et le procédé de contrôle d'entités selon l'invention peuvent également être utilisés pour gérer les déplacements d'entités entre des sous- groupes contenus dans des groupes différents ou dans un même groupe .