Biométrie : la CNIL voit des traces partout

AuthentificationLégislationRégulationsRisquesSécurité
cnil-biometrie

En anticipation du règlement européen sur la protection des données, la CNIL révise son approche des dispositifs biométriques et de leur usage sur les lieux de travail.

Quel est le point commun entre le partage de photos sur Internet, l’exploitation des caméras de vidéosurveillance et le développement des systèmes de reconnaissance vocale ?

Pour la CNIL, ce sont autant d’aspects qui redistribuent les cartes de la biométrie et sa mise en œuvre notamment au niveau des dispositifs de contrôle d’accès sur les lieux de travail.

L’autorité administrative a fait évoluer, en conséquence, le cadre réglementaire, en adoptant, le 30 juin 2016, deux autorisations uniques.

Pour mieux saisir les tenants et aboutissants de la démarche, petit point sur le cadre légal.

L’article 25 de la loi Informatiques et Libertés établit que les dispositifs biométriques sont soumis à l’autorisation préalable de la CNIL.

Afin de simplifier la procédure, la Commission a défini le principe de l’autorisation unique, qui permet aux organismes mettant en œuvre des dispositifs biométriques d’effectuer une déclaration simplifiée.

Avec ou sans traces ?

Qu’entend-on exactement par « dispositifs biométriques » ? La CNIL les définit comme « l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales ». Cela comprend donc les empreintes digitales, l’iris, la voix, le visage ou encore la démarche.

Un constat : ces éléments « reposent sur une réalité biologique permanente ». Leur mauvaise usage ou leur détournement peut donc « avoir des conséquences graves pour les droits et libertés des personnes ».

La CNIL différenciait, à l’origine, les biométries « à trace » et celles « sans trace ». Dans la première catégorie, on trouve les empreintes digitales ou l’ADN, dont on laisse effectivement des marques physiques derrière nous, et qui peuvent par là même être récupérées. À l’inverse, la deuxième catégorie regroupe des attributs propres, comme le réseau veineux et la paume de la main.

Sur la base de cette distinction, la CNIL avait adopté quatre autorisations uniques portant sur le contrôle d’accès par empreinte digitale aux ordinateurs portables professionnels, le réseau veineux de la main sur les lieux de travail, l’empreinte digitale sur le lieu de travail et le contrôle d’accès par le contour de la main aux lieux de travail.

Il était notamment établi que le traitement des empreintes digitales n’était possible qu’avec un stockage sur un support placé sous le contrôle exclusif de la personne dont on utilise les données biométriques (le « gabarit »). Mais aussi si le stockage des biométries sans trace était possible de manière centralisée dans un base de données, il ne l’était qu’exceptionnellement pour les gabarits à trace, après obtention d’une autorisation spécifique.

L’Europe de la biométrie

Pour la CNIL, la vidéosurveillance et le partage de photos ont généré de nombreuses « traces numériques » du visage des personnes. Même logique au niveau de la reconnaissance vocale et du réseau veineux (captation possible par infrarouges). Conclusion : toutes les caractéristiques biométriques peuvent aujourd’hui être considérées comme laissant des traces.

D’où l’adoption, fin juin, de deux autorisations uniques qui remplacent le cadre existant avec, d’un côté, les dispositifs biométriques qui permettent aux personnes de garder la maîtrise de leur gabarit et de l’autre, ceux qui ne garantissent pas cette maîtrise.

En toile de fond, l’application du règlement européen sur la protection des données personnelles.

À partir de mai 2018, les traitements de données ne seront plus soumis à l’autorisation préalable de la CNIL. Les organismes devront toutefois documenter les caractéristiques de leurs traitements et – entre autres – être en mesure de démontrer leur proportionnalité.

Centraliser en dernier recours

Le nouveau cadre va dans ce sens. Il pose que le recours à un traitement biométrique doit être justifié « au moyen d’une documentation étayée ». Il ne saurait ainsi remplacer un système de badge si celui-ci est suffisant, s’il ne répond qu’à un besoin de confort ou « si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles ».

On privilégiera par ailleurs les dispositifs qui garantissent la maîtrise des personnes sur leur gabarit. Typiquement en leur confiant un support de stockage : en cas de perte ou de vol, seule la donnée concernée est compromise et non celle de tous les individus soumis au contrôle d’accès.

Si la détention d’un support dédié au seul stockage du gabarit n’est pas adaptée à l’architecture et au contexte d’exploitation du dispositif, le gabarit « peut être conservé dans les serveurs de la société sous une forme le rendant inexploitable en l’absence d’intervention de la personne concernée », selon la CNIL.

Enfin, les organismes qui ne peuvent pas garantir une maîtrise du gabarit par les personnes concernées et qui souhaitent centraliser l’ensemble des gabarits dans une base de données devront démontrer, « par écrit et de manière étayée », qu’ils ne peuvent pas faire autrement.

Les responsables du traitement qui avaient effectué un engagement de conformité aux autorisations uniques ici abrogées ont deux ans pour se mettre en conformité. Au-delà, le règlement européen sera applicable.

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur