La présente invention concerne le domaine des dispositifs de transfert de données authentifiées. Elle propose plus particulièrement la production de documents à partir de plusieurs sources d'informations.

Lorsqu'une personne désire obtenir un document officiel de type carte d'identité, passeport, carte de sécurité sociale, etc., il doit fournir une série d'informations certaines, notamment sur son identité, ses caractéristiques biométriques, son adresse, son numéro de sécurité sociale ou toute autre information telle qu'une photo d'identité, selon les besoins de l'organisme qui va délivrer le document officiel. Une partie de ces informations est obtenue par demande d'extraits certifiés de la part de divers organismes.

La transmission de ces données à partir de leurs diverses sources représente naturellement une perte de temps considérable dans l'obtention de tout type de document officiel.

Par ailleurs, une autre partie des données est fournie par remplissage de formulaires par le demandeur, lesquels sont ensuite saisis sur un moyen informatique par une autre personne, en vue de leur mémorisation et de leur utilisation.

Il est alors clair que cette ressaisie d'information implique un risque de perte d'information ou d'erreur de copie.

Enfin, ces opérations sont consommatrices de temps d'opérateurs, et représentent donc un coût significatif.

La présente invention a donc pour objet de palier un ou plusieurs des inconvénients de l'art antérieur.

À cet effet, l'invention concerne un coffre biométrique de données personnelles comportant au moins :

- un support comportant au moins une face, - des moyens de mémorisation intégrés dans le support et des moyens de traitement, les moyens de mémorisation comportant :

- une zone de stockage de données administratives,

- une zone de stockage de données biométriques,

- une zone de stockage de données techniques relatives aux données administratives et/ou biométriques, et/ou d'au moins un programme exécuté par les moyens de traitement,

Le coffre biométrique est caractérisé en ce que les moyens de mémorisation comportent en outre au moins une table d'autorisations d'accès aux données administratives et/ou biométriques et/ou techniques, ladite (ou lesdites) table(s) d'autorisation d'accès donne pour chaque donnée administrative et/ou biométrique et/ou technique la liste des sources autorisées et la liste des utilisateurs autorisés ou le programme pourra pour chaque donnée administrative et/ou biométrique et/ou technique délivrer à l'extérieur les données autorisées d'accès en fonction des identifiants et des données accédées.

Selon une autre particularité, l'accès aux données administratives et/ou biométriques et/ou techniques est conditionné par l'autorisation du porteur au moins d'un code d'identification et/ou d'une lecture de son empreinte digitale.

Selon une autre particularité, la (ou les) table(s) d'autorisation d'accès comprend deux matrices, une première matrice contenant dans au moins une cellule une première information signalant si une source est autorisée à modifier le contenu d'une donnée administrative et/ou biométrique et/ou technique, une seconde matrice contenant dans au moins une cellule une deuxième information signalant si un organisme utilisateur de données est habilité à lire le contenu d'une donnée administrative et/ou biométrique et/ou technique.

Selon une autre particularité, les moyens de traitement et/ou de mémorisation sont arrangés pour que chaque table d'autorisation mémorisée dans le coffre biométrique ne soit modifiable que par l'organisme ayant procédé à la délivrance du coffre biométrique et/ou par les organismes habilitées à délivrer les données administratives et/ou biométriques et/ou techniques.

Selon une autre particularité, l'accès à chaque donnée administrative et/ou biométrique et/ou technique est protégé en lecture ou en écriture par un code d'accès mémorisé dans les moyens de mémorisation du coffre biométrique, ce code mémorisé étant comparé par les moyens de traitement à celui reçu pour donner ou non l'accès à la donnée administrative et/ou biométrique et/ou technique.

Selon une autre particularité, les moyens de mémorisation comportent un algorithme de cryptage des données exécuté par les moyens de traitement et rendant les données accessibles uniquement à une autorité disposant d'une clé de cryptage.

Selon une autre particularité le coffre biométrique comporte des moyens (table d'autorisation, programme) de vérifier l'autorité d'une source à entrer dans le coffre un type de donnée.

Selon une autre particularité le coffre biométrique ou un terminal communicant avec le coffre comporte des moyens de conversion de chaque donnée brute dans un format électronique prédéterminé en fonction d'un traitement ultérieur.

Un autre but de l'invention est atteint en proposant un procédé d'utilisation d'un coffre biométrique dans une borne intégrée d'édition, caractérisé en ce qu'il comporte au moins les étapes suivantes :

- une ou plusieurs étapes de stockage des données personnelles dans le coffre biométrique,

- une étape de vérification de l'autorité d'une source de données vis-à-vis de chaque donnée entrée lors de l'entrée de ces données pour chaque source de données. Selon une autre particularité, les une ou plusieurs étapes de stockage sont précédées d'au moins une étape de délivrance qui comporte au moins une étape d'acquisition d'une première série de données brutes qui comporte au moins :

- une étape de transfert dans des moyens de mémorisation de la borne intégrée d'édition des données brutes ;

- une étape de conversion de chaque donnée brute dans un format électronique prédéterminé en fonction d'un traitement ultérieur.

Selon une autre particularité, l'étape d'acquisition d'une première série de données brutes comporte en outre une étape de contrôle de qualité de chaque donnée brute.

Selon une autre particularité, l'étape d'acquisition d'une première série de données brutes comporte en outre une étape de contrôle d'intégrité de chaque donnée brute vérifiant la non-falsification de chaque donnée brute.

Selon une autre particularité, l'étape de délivrance comporte en outre une étape de traitement qui comporte au moins une étape de conversion des données brutes dans un format électronique dans lequel des données élaborées sont mémorisées.

Selon une autre particularité, l'étape de traitement comporte en outre une étape d'élaboration d'informations visuelles d'identification destinées à être reproduites sur le coffre biométrique.

Selon une autre particularité, au moins certaines des données élaborées, sont cryptées.

Selon une autre particularité, les données élaborées sont datées et éventuellement associées à une date de validité et à un format définissant la nature et le modèle de données.

Selon une autre particularité, l'étape de délivrance comporte en outre une étape de mémorisation qui comporte au moins : - une étape de transfert et d'écriture dans des zones de stockage spécifiques à chaque type de données du coffre biométrique pour les données élaborées mémorisées sous forme électronique,

- une étape de reproduction sur au moins une face du coffre biométrique à des emplacements prédéterminés pour des données devant être directement visibles.

Selon une autre particularité, l'étape de mémorisation comporte en outre une étape de relecture des données élaborées mémorisées dans le coffre biométrique et une comparaison avec les données élaborées avant leur enregistrement.

Selon une autre particularité, l'étape de délivrance comporte en outre une étape de génération d'au moins une table d'autorisation d'accès aux données consistant en au moins une matrice listant les droits d'accès en lecture et/ou en modification aux données en fonction d'un identifiant du porteur et/ou des organismes utilisateurs.

Selon une autre particularité, les une ou plusieurs étapes de stockage des données personnelles comporte tout ou partie des étapes de l'étape de délivrance.

Selon une autre particularité, lors des une ou plusieurs étapes de stockage des données personnelles, l'étape de contrôle de qualité consiste en la relecture des données correspondantes du coffre biométrique et en la comparaison des données précédentes mémorisées avec les données mises à jour.

Selon une autre particularité, l'étape de vérification de l'autorité d'une source de données vis-à-vis de chaque donnée entrée lors de l'entrée de ces données pour chaque source de données est réalisée par consultation d'au moins une table d'autorisation d'accès aux données.

Un autre but de l'invention est atteint en proposant une borne d'édition d'un coffre biométrique selon le procédé d'utilisation d'un coffre biométrique dans une borne intégrée d'édition, caractérisée en ce qu'elle comporte au moins :

- des moyens de mémorisation ;

- des moyens d'acquisition de données brutes,

- un programme de traitement de données brutes pour générer des données élaborées,

- des moyens de transmission de données élaborées au coffre biométrique.

Selon une autre particularité, les moyens d'acquisition de données brutes sont un système d'acquisition d'images et/ou d'empreintes digitales et/ou de son et/ou une ou des connectiques adaptées à se connecter à des moyens de mémorisations externes contenant les données brutes.

Selon une autre particularité, le programme de traitement de données contrôle la qualité et l'intégrité de chaque donnée brute.

Selon une autre particularité, le programme de traitement de données convertit les données brutes en données élaborées.

Un autre but de l'invention est atteint en proposant un procédé de chargement d'un coffre biométrique contenant des données pour un organisme utilisateur pour la délivrance d'un document à l'aide d'un terminal, caractérisé en ce qu'il comporte au moins les étapes suivantes :

- une étape d'insertion du coffre biométrique dans un lecteur adapté du terminal possédant un clavier de saisie et/ou un lecteur d'empreinte digitale,

- une étape d'identification d'un porteur du coffre biométrique et d'autorisation de l'utilisation de données par composition d'un code d'identification et/ou lecture d'empreinte digitale,

- une étape d'extraction des données nécessaires de la base de données stockées dans des moyens de mémorisations du coffre biométrique après vérification de l'autorisation d'accès de l'organisme utilisateur aux données, - une étape de délivrance du document.

Selon une autre particularité, la vérification d'autorisation d'accès de l'organisme utilisateur aux données est réalisée par consultation d'au moins une table d'autorisation d'accès aux données.

Selon une autre particularité, la vérification d'autorisation d'accès de l'organisme utilisateur aux données est réalisée par un programme du coffre biométrique déroulant une séquence d'instructions permettant l'accès à une zone d'adresse définie dans le programme en fonction d'un identifiant fourni par le terminal.

Selon une autre particularité, l'étape d'extraction des données nécessaires de la base de données stockées dans le coffre biométrique est suivie d'une étape de complètement par l'organisme utilisateur des données nécessaires à la délivrance du document.

D'autres particularités et avantages de la présente invention apparaîtront plus clairement à la lecture de la description ci-après, faite en référence aux dessins annexés :

- la figure 1 représente une vue d'un coffre biométrique.

- la figure 2 représente schématiquement la structure des moyens de mémorisation du coffre biométrique.

- la figure 3a représente une matrice d'autorisation d'accès aux données signalant les sources de données autorisées à modifier le contenu d'une donnée.

- la figure 3b représente une matrice d'autorisation d'accès aux données signalant les organismes utilisateurs autorisés à lire le contenu d'une donnée.

- la figure 4 représente schématiquement le dispositif de délivrance ou la borne d'édition intégrée.

Dans le procédé selon l'invention, on utilise, par exemple, un dispositif dit coffre biométrique (1), comportant, comme illustré sur la figure 1 , principalement des moyens de mémorisation (1000) (schématisés figure 2), incorporés dans un support (10) qui en permet un transport aisé et un raccordement simple à des moyens d'écriture et de lecture pour accéder au contenu dudit coffre biométrique (1).

De tels moyens de mémorisation (1000) incorporés à un support sont par exemple une carte à puce. Dans une forme connue, une carte à puce comporte un circuit électronique, dit puce électronique (11), ainsi que des moyens de mémorisation électroniques, associés ou non à un microprocesseur. Ces composants sont intégrés dans le support (10), lequel est de faible épaisseur, typiquement millimétrique, et est réalisé par exemple en polycarbonate, polyéthylène téréphtalate (PET) ou polychlorure de vinyle (PVC). Un des exemples les plus connus de telles cartes à puce correspond aux cartes bancaires.

Bien que d'autres formes de support tel que des clés USB ou des jetons en anglais « token » soient utilisables, le coffre biométrique (1) est décrit dans un exemple utilisant une carte au format dit « carte de crédit », connu en soi, compatible avec les normes ISO 7816 pour en permettre la lecture avec des dispositifs de lecture standardisés. Mais l'invention peut s'appliquer à toute autre forme d'objet intelligent portable comprenant un microprocesseur pour exécuter un programme d'application (1001) du coffre biométrique (1) embarquée dans l'objet et contrôlant les accès aux informations mémorisées dans la mémoire (1000) du coffre biométrique (1) selon les règles définies ci-après et délivrant à l'extérieur, du coffre biométrique (1) les seules informations que la procédure prévue par l'application embarquée autorise .

Les moyens de mémorisation (1000) du coffre biométrique (1) sont organisés pour déterminer des zones de stockage de données (Figure 2).

Les moyens de mémorisation (1000) comportent au moins :

- une zone (1002) de stockage de données administratives d'un titulaire du coffre biométrique, - une zone (1003) de stockage de données biométriques du titulaire du coffre biométrique,

- une zone (1004) de stockage de données techniques relatives aux données administratives et ou biométriques et le cas échéant à leur lecture et ou utilisation.

Le support (10) du coffre biométrique (1) peut comporter sur au moins une face (101), (102), des informations visuelles d'identification (103a), (103b) du titulaire du coffre biométrique (1) (ou de son représentant autorisé).

À titre d'exemple et en référence à la figure 1 , les informations visuelles d'identification (103a), (103b) inscrites sur la face (101) sont une représentation photographique (103a) du titulaire du coffre biométrique (1) et des caractères alphanumériques (103b) relatifs à l'identité (nom, prénom) du titulaire ou encore une date de création dudit coffre biométrique (1).

D'autres informations visuelles d'identification, telles qu'un code barre, un numéro de série, un cryptogramme, un hologramme ou un logo peuvent également être utilisées.

Dans un mode de réalisation, une couche protectrice (105) est fixée sur au moins une face (101), (102) du support du coffre biométrique (1), par exemple au moyen d'un revêtement adhésif, en vue de protéger les informations visuelles d'identification (103a), (103b) dudit coffre biométrique

(1)-

Dans ce mode de réalisation, ladite couche protectrice (105) est réalisée et est fixée au support de telle sorte que toute tentative de retrait de cette couche protectrice (105), équivalent à une tentative d'effraction du coffre biométrique (1), entraîne une dégradation irrémédiable du support (10), par exemple, par la dégradation physique des composants constituant les moyens de mémorisation (1000).

Dans un mode perfectionné de réalisation, pour accroître la sécurité de l'accès aux données contenues dans les moyens de mémorisation (1000) de la puce électronique (11) du coffre biométrique (1), ledit coffre biométrique (1) comporte au moins un moyen d'authentification biométrique.

De tels moyens de contrôle biométrique de porteurs de moyens de stockage de masse sont déjà connus. On peut citer par exemple des clés USB dotés d'un lecteur d'empreinte digitale, permettant une identification du porteur et autorisant alors ou non l'accès aux données stockées.

Diverses caractéristiques biométriques du titulaire du coffre biométrique (1), telles que par exemple les empreintes digitales, sont exploitables à des fins de contrôle. Le moyen d'authentification biométrique envisagé ici compare une donnée biométrique spécifique contenue dans les moyens de mémorisation (1003) avec une donnée biométrique de lecture issue d'un moyen de lecture relié par des moyens à un système de communication avec le coffre biométrique (1).

Dans un exemple de réalisation, le coffre biométrique (1) comporte des moyens de lecture (104) incorporés au coffre biométrique (1) et reliés à la puce électronique (11) du coffre biométrique (1). Les moyens de lecture sont positionnés sur au moins une face (101), (102) du support (10) et sont par exemple un lecteur d'empreintes digitales.

Dans un autre exemple de réalisation, des moyens de lecture sont incorporés dans un dispositif d'écriture et/ou de lecture dudit coffre biométrique (1).

Dans un mode de réalisation, pour permettre l'échange des données avec un dispositif d'écriture et/ou de lecture, des contacts (111), reliés aux moyens de mémorisation, affleurent au moins une des deux faces (101), (102) du support (10), et sont réalisés dans un matériau conducteur de signal électrique, par exemple en cuivre, protégés de l'oxydation par une couche d'or. Bien évidemment, dans le cas d'une clé USB, la connectique sur le coffre et sur le dispositif de dialogue avec le coffre sera de type USB.

Les données sont échangées par transmission électrique entre les contacts (111) de la puce électronique (11) du coffre biométrique (1) et des contacts d'une tête de lecture du dispositif de lecture/écriture associée dans lequel s'insère le coffre biométrique (1).

Dans un autre mode de réalisation (jeton, token), la puce électronique (11) comporte une antenne (non représentée) située à l'intérieur du support (10). Les données sont échangées (écrites et / ou lues) sans contact, par exemple par couplage électromagnétique, entre l'antenne du coffre biométrique (1) et au moins une seconde antenne située dans un dispositif de lecture/écriture associé.

Dans un mode alternatif de réalisation, le coffre biométrique (1) est un coffre mixte contact-sans contact et comporte conjointement les contacts et l'antenne, certains moyens ou modes de communication pouvant être dédiés à certaines utilisations. Par exemple le mode contact pour l'écriture et le mode sans contact pour la lecture.

Les moyens de mémorisation (1000) du coffre biométrique (1) mettent en œuvre une ou plusieurs des technologies disponibles pour la mémorisation de données numériques. Parmi les technologies disponibles actuellement et adaptées dans leur état actuel de développement, il peut s'agir de mémoires électroniques volatiles, type RAM, associées à des moyens de maintien d'alimentation électrique, ou de mémoires permanentes à écriture unique, type ROM, ou de mémoires permanentes réinscriptibles, type EEPROM ou mémoire flash.

D'autres technologies de mémoires à venir, par exemple optique ou biologique, seront avantageusement mises en œuvre dans le coffre biométrique (1) lorsqu'elles auront atteint un niveau de maturité adapté à l'utilisation du coffre biométrique (1). Dans une forme particulière de réalisation, le coffre biométrique (1) met en œuvre différentes technologies de mémoires en fonction de la nature des données, par exemple des données ne devant jamais être modifiées telles que le nom et l'identifiant du titulaire, sont mémorisées dans une zone non réinscriptible de la mémoire alors que des données pouvant évoluer, par exemple l'adresse du titulaire, sont mémorisées dans une zone réinscriptible. Pour d'autres informations accessibles de l'extérieur en lecture ou en écriture, les accès à ces informations seront contrôlés par le microprocesseur embarqué dans le coffre en fonction des informations d'identification ou d'authentification fournies de l'extérieur et des demandes d'accès.

Dans une forme particulière de réalisation, le coffre biométrique (1) comporte une alimentation propre qui alimente une horloge portée par le coffre biométrique (1). Ladite horloge, associée à des moyens logiques du coffre biométrique (1), invalide les données périmées de sorte que lesdites données périmées deviennent inutilisables, même par un lecteur dont la date aurait été falsifiée.

Une borne d'édition intégrée ou d'un dispositif de délivrance d'un coffre biométrique (1), décrit ici à titre d'exemple nullement limitatif, comporte un ensemble de moyens mis en œuvre pour exécuter le procédé qui abouti à la délivrance du coffre biométrique (1).

On comprend que cette délivrance correspond au premier stockage de données dans le coffre biométrique (1), mais nullement au dernier de ces stockages, diverses données stockées étant susceptibles de nécessiter des mises à jour.

Le dispositif de délivrance comporte, comme illustré sur la figure 4 :

- des moyens (21) d'acquisition des données brutes,

- des moyens (22) de traitement des données brutes pour générer les données élaborées,

- des moyens (23) de transmission des données élaborées, sous forme numérique, au coffre biométrique (1).

Dans une forme de réalisation préférée, le dispositif de délivrance comporte également des moyens (24) de transfert d'images et ou de texte sur au moins une surface du coffre biométrique (1).

Les moyens (21) d'acquisition des données brutes comportent tout ou partie des moyens suivants : - un système d'acquisition d'image, par exemple un appareil de prise de vue numérique permettant de réaliser un portrait du titulaire du coffre biométrique et/ou une image de la rétine dudit titulaire,

- une prise d'empreintes digitales,

- un système d'acquisition de sons, par exemple un microphone couplé à une carte d'acquisition numérique pour enregistrer et convertir dans un format digital la voix du titulaire du coffre biométrique (1),

- un système de digitalisation de signature manuscrite,

- un système de saisie de données comportant avantageusement un clavier et au moins un écran de contrôle,

- un système de lecture de données préenregistrées, par exemple la lecture d'un support numérique.

Les moyens (22) de traitement des données sont essentiellement architectures autour de moyens de calcul, par exemple une station de travail comportant un ou des microprocesseurs, un ou des claviers et un ou des écrans.

Ladite station de travail est avantageusement utilisée pour acquérir des données brutes en étant raccordée à des périphériques constituant tout ou partie des moyens (21) d'acquisition des données brutes.

Les moyens (22) de traitement des données mettent en œuvre des séquences logiques, de préférence aussi automatisées que possibles, pour limiter les erreurs de manipulations et délivrer des coffres biométriques (1) aussi proches que possible d'un standard préétabli.

Cependant, les moyens (22) de traitement présentent de préférence à un opérateur un affichage du déroulement des étapes du procédé et donne la possibilité par des demandes d'instructions de validation ou de saisies complémentaires de contrôler la préparation des données du coffre biométrique (1). Dans un mode particulier de réalisation, les moyens (22) de traitement des données comportent une interface de communication avec une ou des bases de données déportées, par exemple une connexion à un réseau, pour acquérir des données de contrôle des données brutes.

Les moyens (23) de transmission des données élaborées au coffre biométrique 1 comportent notamment :

- des moyens (231) de mise en forme des signaux porteurs des données élaborées devant être mémorisées dans le coffre biométrique (1),

- des moyens (232) de connexion au coffre biométrique (1), par exemple un ensemble de contacts électriques devant être raccordés aux contacts du coffre biométrique (1) pendant l'étape de mémorisation ou d'autres moyens cohérents avec la réalisation du coffre biométrique (1).

Les moyens (23) de transmission assurent également le cas échéant l'alimentation en énergie du coffre biométrique (1), par exemple en énergie électrique des composants électroniques du coffre biométrique (1), notamment pendant une phase de transmission de données vers le coffre biométrique (1).

Les moyens (23) de transmission de données, qui le cas échéant, communiquent avec le coffre biométrique (1) sans contact direct, par exemple par induction magnétique, sont avantageusement conçus pour assurer la lecture du contenu du coffre biométrique (1) avant ou après une opération d'écriture dans une zone de stockage.

Les moyens (24) de transfert d'images, optionnels, mais nécessaires si le coffre biométrique (1) doit comporter des informations visuelles d'identification (103a, 103b) sur une ou des faces visibles du coffre biométrique (1), sont adaptés aux images ou textes à apposer sur le coffre biométrique (1). II s'agit par exemple de moyens connus de transfert d'une image sur un support, en particulier les moyens d'impression par transfert thermique, couleur ou monochrome, ou d'impression par jet d'encre ou tout autre moyen connu acceptable par le support.

Lesdits moyens (24) de transfert d'images comportent avantageusement des moyens (241) de protection des informations visuelles d'identification sur la face du coffre biométrique (1), par exemple des moyens d'application d'un film plastique transparent qui interdit la modification des informations sans rendre une tentative de modification facilement détectable.

L'ensemble des moyens (21), (22), (23), et (24) le cas échéant, du dispositif de délivrance constitue des moyens de personnalisation d'un coffre biométrique (1). En effet, un coffre biométrique (1) vierge ou anonyme, impersonnel, est introduit dans le dispositif de délivrance et en est extrait avec un premier ensemble de données personnelles d'un titulaire.

Le mode de mise en œuvre du coffre biométrique (1), qui fait l'objet du procédé selon la présente invention, comporte (figure 6) :

100 - une étape de délivrance du coffre biométrique (1),

200 - une ou plusieurs étapes de stockage de données dans ledit coffre biométrique (1), et

300 - une ou plusieurs étapes de récupération de données de ce même coffre biométrique (1).

Le titulaire d'un coffre biométrique (1) tel que décrit peut être une personne physique aussi bien qu'une personne morale, représentée par un groupe de personnes physiques dites représentants autorisés.

Les données administratives d'un titulaire du coffre biométrique (1) comportent un ensemble de données, associées à une identification unique et non ambiguë du titulaire (ou de son ou ses représentants légaux).

Ces informations administratives sont choisies en ce qu'elles sont nécessaires à un ensemble d'applications mettant en œuvre le coffre biométrique (1), par exemple la délivrance de documents officiels. Dans un exemple d'application, le coffre biométrique (1) permet d'obtenir la délivrance d'une carte santé pour son titulaire.

Il est clair que les données administratives stockées dépendent des utilisateurs concernés. Ces données administratives comprennent avantageusement :

- un numéro identifiant unique du titulaire, par exemple un numéro de sécurité sociale, et/ou

- le nom associé ou non au prénom du titulaire, et/ou

- une date de naissance, associée ou non à un lieu de naissance.

Les données administratives peuvent également comporter des informations telles que la nationalité, l'adresse actuelle, la situation familiale, des données relatives aux ascendants et ou descendants...

Ces données administratives peuvent émaner de diverses sources autorisées : mairies, préfectures, Insee (pour des personnes morales), sécurité sociale, URSSAF, casier judiciaire, etc.

Les données biométriques du titulaire (ou de son ou ses représentants légaux) sont définies comme étant des données strictement liées au titulaire et comportent, converties dans un format numérique, tout ou partie de :

- photographies du visage,

- empreintes digitales,

- image d'iris,

- enregistrement de la voix,

- empreinte génétique...

Ces données peuvent être authentifiées par des organismes officiels, ou être générés par des sociétés privées, par exemple pour leurs besoins de sécurité propres. On comprend que dans ce cas, des données émanant d'une source officielle sont acceptables par une société privée, alors que des données émanant d'une société, par exemple pour la gestion de son personnel, ne sont pas nécessairement acceptables par une administration pour la délivrance de documents officiels.

Les données techniques comportent de préférence au moins un ensemble de données de contrôle à l'accès aux données administratives et biométriques. Ces données techniques comportent également la liste des données stockées et le nom de ces données, ainsi, préférentiellement qu'un historique des accès réalisés, en lecture ou en écriture, pour chaque donnée stockée.

Les données techniques comportent donc avantageusement des données relatives aux autres données du coffre biométrique (1). En particulier, les données techniques comportent :

- des dates de création de chaque donnée, et/ou

- des dates de péremption de chaque donnée, et/ou

- des formats définissant la nature et le modèle de chaque donnée afin de gérer l'évolution et la compatibilité des techniques d'utilisation ultérieure et/ou

- des dates d'accès et/ou des identités d'autorités ayant accédé aux données, et/ou

- des références de documents ayant été édités au moyen du coffre biométrique (1).

Cet historique peut être crypté par le processeur incorporé dans le support (10) lors de chaque accès. Les données techniques comportent également des numéros d'identification du coffre biométrique (1) lui-même, ainsi que des identifiants des sources de données et des utilisateurs de données.

Les données techniques peuvent également comporter des copies de documents obtenus précédemment par utilisation du coffre biométrique (1) du titulaire, à titre de vérification de cohérence par un organisme utilisateur. Ces copies de documents peuvent par exemple être stockées en format dit « pdf », connu en soi, et crypté.

Les données techniques peuvent encore comporter des codes de signature de certaines données stockées (par exemple de façon très simplifiée, la somme des chiffres composant un numéro, ou le nombre de chiffres pairs etc.), de manière à assurer leur inviolabilité. Ces codes de signature sont alors créés lors de l'entrée des données concernées, par leurs organismes sources. Le type de code signature utilisé n'est alors pas nécessairement communiqué au titulaire du coffre biométrique (1).

Deux types d'accès aux données stockées sont envisagés dans le procédé selon l'invention : un accès en écriture (stockage de données), et un accès en lecture (extraction de données).

En écriture l'accès (Figure 5) se fait grâce à un équipement (2000) doté d'un générateur (2001) de données biométriques, par exemple appareil photo, lecteur d'empreinte, scanner, etc. Ce générateur est relié à un système (2002) informatique de traitement des données brutes, connecté à un terminal (2003) de lecture écriture dans le coffre biométrique (1), pour permettre l'introduction selon des procédures sécurisées par au moins une authentification, des données à sauvegarder dans le coffre (1) aux emplacements souhaités.

En lecture, l'accès utilise au moins un terminal de lecture écriture disposant en interne ou en liaison de moyens de traitement informatique pour dialoguer avec le coffre (1) et extraire après une procédure d'authentification les données qu'il est habilité à extraire en fonction de son authentification et les reproduire sur un support par un moyen de reproduction intégré ou en relation avec le terminal. La procédure d'authentification peut être réalisée par un lecteur d'empreinte intégré ou connecté au terminal.

Le procédé selon l'invention est caractérisé en ce que chaque donnée stockée dans le coffre biométrique (1) ne peut être écrite ou modifiée que par un ensemble préalablement défini de sources autorisées (A1 , A2, A3, A4, etc.) (figure 3a), et/ou ne peut être lue que par un ensemble préalablement défini d'utilisateurs autorisés (B1 , B2, B3, B4, etc.) (figure 3b).

Il est à noter que, même si le titulaire est une source autorisée pour certaines données telles que son adresse personnelle, d'autres données ne sont pas accessibles en écriture au titulaire lui-même dudit coffre biométrique (1) (en particulier les données biométriques, de santé ou les données administratives identifiantes telles que numéro de sécurité sociale etc.)

De même, certaines données ne sont pas accessibles en lecture au titulaire du coffre biométrique (1). Ceci concerne typiquement, dans le présent exemple non limitatif, des données techniques telles que l'historique des accès aux données en lecture et écriture, l'historique des modifications des données stockées, ou des données techniques telles que le numéro unique d'identification du coffre biométrique (1) lui-même, ou que des codes de signature de certaines données stockées.

En d'autres termes, on peut associer au contenu du coffre biométrique (1) deux matrices caractérisant les autorisations d'accès aux données. Dans une première matrice (figure 3a), en disposant les sources de données (A1 , A2, A3, A4, etc.) en lignes et les données (adresse, taille, n° sécurité sociale, etc.) en colonnes, chaque cellule signale si une source de données est autorisée à modifier le contenu d'une donnée. Par exemple, un numéro de sécurité sociale n'est modifiable que par l'URSSAF. Une adresse personnelle est modifiable par le titulaire du coffre biométrique (1).

Par exemple, selon la figure 3a, la source de données A1 sera autorisée à modifier le Nom et la Photo et non le Prénom et le N ⁰ de Sécurité sociale alors que la source de données A3 sera autorisée à modifier le Nom, le Prénom et le N° de Sécurité sociale et non la Photo.

De même, dans une deuxième matrice (figure 3b), en disposant les organismes utilisateurs (B1 , B2, B3, B4, etc.) de données en lignes et les données (adresse, taille, n° sécurité sociale, etc.) en colonnes, chaque cellule signale si un organisme utilisateur de données est habilité à lire le contenu d'une donnée. Par exemple, des données de santé ou de groupe sanguin ne sont pas accessibles à des organismes fiscaux etc.

Par exemple, selon la figure 3b, l'organisme utilisateur B1 sera autorisé à lire le Nom et la Photo et non le Prénom et le N° de Sécurité sociale alors que l'organisme B3 sera autorisée à modifier le Nom et non le Prénom, le N° de Sécurité sociale et la Photo.

Les données techniques stockées dans le coffre biométrique (1) comportent donc également au moins une table d'autorisations, donnant pour chaque donnée la liste des sources autorisées (A1 , A2, A3, A4, etc.) et la liste des utilisateurs autorisés (B1 , B2, B3, B4, etc.) (l'un des utilisateurs pouvant être dénommé « public » pour caractériser les données qui sont laissées en libre lecture, par exemple l'adresse du titulaire ou son numéro de sécurité sociale).

Cette table d'autorisations est générée lors de la délivrance du coffre biométrique (1). Puisque cette table fait partie des données techniques de la carte, elle est associée à des autorisations de lecture et d'écriture, et ne peut par exemple être modifiée que par l'organisme ayant procédé à la délivrance du coffre biométrique (1).

Alternativement, si de nouveaux types de données sont ajoutés, la table d'autorisation est étendue par l'organisme ajoutant ces nouveaux types de données, sans modification de la partie préexistante de ladite table d'autorisations.

L'accès en écriture aux données pour chaque source de données (ou l'accès en lecture pour chaque organisme utilisateur) est protégé par un code d'accès particulier, dit code PIN, mémorisé dans les moyens de mémorisation du coffre biométrique et défini par le titulaire du coffre biométrique (1). Un code PIN différent est le cas échéant défini pour l'accès à des sous ensembles de données pour lesquels des conditions d'accès différentes sont recherchées.

Avantageusement, les données stockées sur le coffre biométrique (1) sont cryptées. Par exemple, un cryptage est réalisé de sorte que les données rendues accessibles le cas échéant par l'usage d'un code PIN, ne puissent être exploitées que par une autorité habilitée disposant d'une clé de décryptage, par exemple au fin de disposer de l'ensemble des informations sur la personne titulaire pour émettre un document. Ainsi le coffre biométrique comporte des moyens (table d'autorisation et/ou programme) de vérifier l'autorité d'une source à entrer dans le coffre un type de donnée.

De même le coffre biométrique ou le terminal communicant avec le coffre comporte des moyens de conversion de chaque donnée brute dans un format électronique prédéterminé en fonction d'un traitement ultérieur (par exemple cryptage).

Avantageusement, les accès et les modifications de données sont mémorisés sans effacer les données antérieures afin de conserver un historique du coffre biométrique (1) et de son utilisation, et de permettre un meilleur contrôle de l'intégrité des données avant leur utilisation, par exemple pour la comparaison de données antérieures avec des données actuelles.

Comme on l'a vu, en référence à la figure 6, la première étape (100) du procédé de stockage et restitution de données sécurisées selon l'invention est la délivrance d'un nouveau coffre biométrique (1) pour un titulaire.

La délivrance d'un coffre biométrique (1) comporte une première sous- étape (110) qui consiste en une acquisition d'une première série de données brutes devant être incorporées, après traitement éventuel, dans le coffre biométrique (1). Ces données brutes sont de nature variable : image (par exemple, .jpeg, .tiff, etc.), texte (par exemple, .doc, .pdf, .txt, etc.), séquences numériques (par exemple en ASCII, BCD, etc.)

Au cours de la sous-étape (110) d'acquisition, chaque donnée brute est convertie (111) dans l'équipement prévu pour l'introduction des données dans le coffre biométrique (1), en un format électronique prédéterminé fonction du modèle de traitement ultérieur.

Au cours de la sous-étape (110) d'acquisition, chaque donnée brute est le cas échéant soumise, avant écriture dans le coffre biométrique (1), à des contrôles de qualité (112), par exemple une analyse automatique de l'image pour s'assurer que celle-ci répond bien aux normes applicables au coffre biométrique (1), par exemple la norme ICAO, ou par exemple une analyse de la structure de données numériques par la vérification du nombre de digit et/ou de la cohérence avec une clé de contrôle.

Au cours de la sous-étape (110) d'acquisition, chaque donnée brute est, le cas échéant avant écriture dans le coffre biométrique (1), soumise à un contrôle d'intégrité (113) pour vérifier si la donnée n'est pas falsifiée.

Dans un mode simplifié de mise en oeuvre, un opérateur effectue des contrôles simples par comparaison de documents et d'attestation du demandeur du coffre biométrique (1).

Dans un mode amélioré de mise en œuvre, en complément aux contrôles par un opérateur, une comparaison des données brutes avec des données accessibles dans une base de données détecte d'éventuelles incohérences susceptibles de remettre en cause la délivrance d'un coffre biométrique (1).

Suivant une seconde sous-étape (120) du procédé, les données brutes sont converties (121) dans un format électronique dans lequel les données, dites données élaborées, sont mémorisées.

Dans un mode particulier, les données élaborées, au moins certaines d'entre elles, sont cryptées pour être mémorisées. Dans un mode particulier, les données sont datées et le cas échéant associées à une date de validité.

Au cours de la seconde sous-étape (120) de l'étape (100) de délivrance d'un coffre biométrique (1), tout ou partie des données brutes sont traitées pour élaborer (122) les informations visuelles d'identification (103a, 103b) destinées à être reproduites sur le coffre biométrique (1), en particulier sur les faces du support du coffre biométrique (1) si celui-ci est réalisé sous la forme d'une carte.

Par exemple, une image du titulaire du coffre biométrique (1) est extraite des données brutes et mise au format (couleur, résolution,...) pour être reproduite sur le coffre biométrique (1).

Par exemple, des données, numéro d'identification du titulaire, numéro du coffre biométrique, date de validité du coffre, ..., sont extraites des données brutes afin de pouvoir être imprimées ou reproduites sur le coffre biométrique (1).

Suivant une troisième sous-étape (130) de l'étape (100) de délivrance d'un coffre biométrique (1), les données élaborées devant être contenues dans le coffre biométrique sont :

- transférées (131) et écrites dans des zones de stockage spécifiques à chaque type de données du coffre biométrique (1) pour les données élaborées mémorisées sous forme électronique,

- reproduites (132) sur une face au moins du coffre biométrique (1) à des emplacements prédéterminés pour les données devant être directement visibles.

De préférence, la troisième sous-étape (130) comporte également une relecture (133) des données élaborées mémorisées dans le coffre biométrique (1) et une comparaison avec les données élaborées avant leur enregistrement pour vérifier que l'intégrité des données n'a pas été atteinte pendant le processus d'écriture des zones de stockage. A l'issue de la troisième sous-étape (130), le coffre biométrique (1) est délivré au titulaire.

Le procédé de stockage et d'extraction de données sécurisées comporte également une ou plusieurs étapes (200) de stockage de données dans ledit coffre biométrique (1).

Lors de ces étapes (200), tout ou partie des étapes précédentes sont réalisées à nouveau pour, soit mémoriser des données additionnelles dans le coffre biométrique (1), soit pour mémoriser des mises à jour de données déjà mémorisées.

Dans ce dernier cas de mise à jour, le contrôle de qualité (112) de l'étape, dans un mode particulier de mise en œuvre, s'effectue sur un terminal de l'administration ou de l'intervenant habilité à introduire les données. Le programme de ce terminal relit les données correspondantes du coffre biométrique (1) et compare les données précédentes mémorisées avec les données mises à jour, le programme pouvant classer les différences entre les deux ensembles suivant le cas comme :

- normales,

- crédibles,

- anormales, pour déterminer si les nouvelles données sont suffisamment sûres.

Le procédé de stockage et d'extraction de données sécurisées comporte également une ou plusieurs étapes (300) d'extraction de données du coffre biométrique (1) par des organismes utilisateurs.

En fonction de l'organisme utilisateur et du besoin du titulaire, différents scénarios et moyens sont décrits à titre d'exemples non limitatifs.

Dans un premier scénario d'inscription demandant le remplissage d'un formulaire, par exemple pour une inscription ou adhésion à un service, le besoin pour l'organisme utilisateur est d'extraire des informations relatives au titulaire puis de les entrer dans un système de gestion des inscriptions.

L'organisme utilisateur est dans ce cas équipé d'un lecteur de carte de type connu en soi, comprenant soit un clavier pour saisir un code personnel, soit un lecteur d'empreintes pour vérifier l'adéquation entre le porteur du coffre biométrique (1) et les empreintes qu'elle contient. Le lecteur de carte est connecté à un ordinateur, tous deux de type connu en soi.

Le titulaire insère son coffre biométrique (1) dans le lecteur, tape son code PIN ou valide son autorisation d'utilisation par la lecture de son empreinte digitale préalablement mémorisée dans son coffre biométrique. Un logiciel installé chez l'organisme utilisateur extrait les informations nécessaires de la base des données stockées dans le coffre biométrique (1), après vérification par le processeur de ce coffre biométrique (1) de l'autorisation d'accès de cet organisme utilisateur auxdites données, les met en forme si besoin, les affiche à l'écran et les injecte dans le formulaire d'inscription. Une personne chargée des inscriptions au sein de l'organisme utilisateur saisit alors uniquement si nécessaire des informations complémentaires relatives par exemple à l'organisme utilisateur (par exemple la formule d'abonnement choisie...)

Un justificatif, un contrat d'abonnement ou autres documents ou titres peuvent être générés et imprimés automatiquement par le logiciel. Ces documents contiennent les informations issues du coffre biométrique (1). Une copie de ces documents est éventuellement stockée dans le coffre biométrique (1) à titre à la fois de sauvegarde et de document de contrôle lors d'une prochaine demande analogue vis à vis du même organisme utilisateur.

Un deuxième scénario est relatif à une demande de titre à émission différée, telle qu'une demande de passeport biométrique faite à la mairie de son domicile par un titulaire de coffre biométrique (1). Ici, dans la même logique que le scénario précédent, la mairie est équipée d'un lecteur de carte + clavier/empreinte et le système extrait instantanément les informations utiles de façon analogue à ce qui a été décrit plus haut. Le passeport sera délivré ultérieurement en suivant une procédure classique.

Un troisième scénario concerne une demande de titre a émission instantanée, par exemple : carte étudiant, carte de transport, carte de fidélité, carte bancaire, carte de santé... Dans ces applications, l'organisme utilisateur remet au demandeur, en fin de procédure, une carte à puce, un ticket/billet personnalisé.

L'organisme est équipé d'un appareil d'émission intégré permettant a la fois de lire des données stockées dans le coffre biométrique (1), de saisir le code PIN ou l'empreinte digitale de l'utilisateur (ou tout autre moyen d'identification unique), puis d'imprimer et programmer le titre à lui remettre. Les appareils d'émission sont constitués, dans le présent exemple, d'éléments standards du commerce (imprimante de carte, lecteur de carte, lecteur d'empreinte, clavier...) intégrés dans un seul boîtier. Ils sont connectés à un ordinateur de gestion.

Un quatrième scénario concerne une utilisation d'une borne libre- service. La borne libre-service intègre alors, en fonction du besoin, soit une solution simple de lecture du coffre biométrique (1), soit une solution produisant automatiquement et instantanément un titre en retour. Dans les deux cas, la borne libre-service contient aussi un clavier, un écran préférentiellement tactile et tout autre moyen notamment d'interface, de stockage ou de calcul, qui pourrait être nécessaire.

Le demandeur est guidé lors de la procédure d'émission d'un document par un logiciel exécuté par un ordinateur incorporé dans la borne pour suivre la procédure d'extraction des données du coffre biométrique, de saisie des informations complémentaires et d'émission du titre. La borne libre-service est ici encore constituée d'éléments standards du commerce intégrés dans un même boîtier.

Un cinquième scénario concerne la constitution d'un fichier d'images chez un photographe habilité pour la réalisation de photographies destinées à des documents officiels (passeport, CNI, etc.). Ce photographe, équipé de moyens de numérisation d'une prise de vue et d'un terminal de communication avec un coffre biométrique contenant en mémoire un code d'identification et d'authentification de ces photographes habilité, pourra après authentification par le coffre effectuer l'enregistrement des fichiers d'image dans le coffre biométrique dans une zone accessible uniquement aux autorité de délivrance de passeport ou de Carte Nationale d'Identité (CNI), avec une information d'identification du photographe ayant enregistré les données. D'autres fichiers d'image, par exemple avec une définition différente ou des conditions de prise de vue différentes pourront également être enregistrés dans une zone mémoire n'exigeant pas les mêmes identifiants ou authentifiants pour y accéder.

Les dispositifs et Ie procédé décrit permettent ainsi le stockage et la restitution de données personnelles sécurisées et confidentielles d'un titulaire au sein d'un coffre biométrique (1). De cette manière, on regroupe l'ensemble des informations nécessaires pour obtenir ultérieurement des documents spécifiques, uniquement à partir de l'utilisation du coffre biométrique (1).

On comprend que le procédé qui vient d'être décrit permet une récupération sélective de données relatives à un titulaire de coffre biométrique (1), selon l'organisme utilisateur, tout en garantissant une qualité et fiabilité des informations transmises en évitant notamment les erreurs de copie. Le procédé selon l'invention offre aussi une solution peu coûteuse, très fiable et ne demandant aucune compétence particulière nouvelle aux opérateurs des organismes délivrant un coffre biométrique (1), ou utilisant celui-ci.

La portée de la présente invention ne se limite pas aux détails des formes de réalisation ci-dessus considérées à titre d'exemple, mais s'étend au contraire aux modifications à la portée de l'homme de l'art.

Ainsi le mode de réalisation utilisant une table d'accès enregistrée dans la mémoire du coffre biométrique (1) et permettant au microprocesseur du coffre (1) d'autoriser ou non les accès à certaines informations du coffre (1) et pas à toutes selon les authentifiants utilisés, n'est qu'une variante de réalisation possible.

Une autre variante peut être constituée directement par le programme inclus dans le coffre (1), qui en fonction de certaines caractéristiques retrouvées dans l'identifiant fourni par le terminal de l'administration va dérouler une séquence d'instructions permettant d'accéder à une zone d'adresse définie dans le programme et non pas par une table, pour transférer à l'extérieur, par exemple, la photo haute définition et les informations (nom, prénom, adresse, couleur de cheveu, couleur des yeux) nécessaires à l'établissement, par exemple, d'une carte d'identité ou simplement les informations correspondant après traitement à une photo basse définition et le nom pour éditer un badge, ou l'écriture en mémoire des informations correspondantes à une empreinte.

Selon une autre variante, l'autorisation d'accès à certaines données peut être conditionnée à la sensibilité de telle ou telle donnée. Par exemple, certaines données non sensibles peuvent être accessibles grâce au code PIN. Les données plus sensibles seront accessibles par la lecture de l'empreinte digitale du porteur du coffre biométrique (1). Ainsi, un petit organisme, tel un club de sport, ne sera pas obligé d'acquérir un terminal avec lecteur d'empreinte digitale coûteux s'il ne veut récupérer que, par exemple, le nom, l'adresse et la photo du porteur du coffre biométrique (1) pour faire sa carte de fidélité ou d'abonnement.

Puis, un passage dans une administration habilitée équipée d'un lecteur d'empreinte relié à un ordinateur lui-même relié à un terminal de lecture-écriture dans un coffre (1) permettra une authentification de l'utilisateur du terminal de l'administration habilitée, réalisée par le programme du coffre (1) sur la base d'un identifiant fourni par le fonctionnaire et également mémorisé dans le coffre (1) pour l'autoriser à inscrire en mémoire l'empreinte. La fin de l'opération d'écriture en mémoire de l'empreinte déclenche après vérification de la conformité de la parité des informations écrites, une modification du programme d'authentification. À ce moment, le programme d'application du coffre biométrique (1) se modifie pour que les authentifications ultérieures des utilisateurs du coffre (1) préalable à l'écriture ou lecture dans Ia zone sécurisée de la mémoire de la carte se fassent non plus à l'aide d'un code mais à l'aide de l'empreinte. Toutefois, l'administration conservera son authentification par identifiant alphanumérique.

Selon une autre variante, certaines données non-sensibles ou publiques peuvent être accessibles sans aucune identification PIN ou empreinte.

Selon une autre variante, certaines données très sensibles ne seraient accessibles que si l'autorisation est réalisée avec l'identification PIN ainsi que par empreinte.

Enfin au cours de cette opération ou après une authentification par empreinte une administration pourra accéder aux données d'identification du porteur de coffre biométrique (1) pour les vérifier ou les corriger en inscrivant également en mémoire un identifiant de l'administration qui a effectué la modification ainsi que la date de modification.

Une fois cette vérification ou modification effectuée cette administration pourra, sous le contrôle du programme d'application du coffre (1), effectuer une lecture du fichier image, de tout ou partie (selon les autorisations prévues dans le programme ou la mémoire) des données alphanumériques d'identification (nom, adresse, date de naissance, données personnelles) pour les envoyer vers un système d'édition d'un document sur un support papier ou plastique.

Dans la description ci-dessus, on a présenté le coffre biométrique (1) comme conformé en carte à puce. Il est loisible en variante d'utiliser une présentation sous forme de clé USB, dotée d'un dispositif de lecture d'empreinte digitale de son porteur.

Les divers modes et variantes de réalisation décrits dans la présente demande peuvent être combinés ensemble à moins qu'ils ne soient incompatibles et/ou ne répondent pas à au moins un des buts de la présente invention.

Il doit être évident pour les personnes versées dans l'art que la présente invention permet des modes de réalisation sous de nombreuses autres formes spécifiques sans l'éloigner du domaine d'application de l'invention comme revendiqué. Par conséquent, les présents modes de réalisation doivent être considérés à titre d'illustration, mais peuvent être modifiés dans le domaine défini par la portée des revendications jointes, et l'invention ne doit pas être limitée aux détails donnés ci-dessus.