Actualité : article de veille

Tout système de reconnaissance biométrique est soumis à déclaration ou autorisation préalable de la CNIL et à son contrôle

Le 16/03/2011, par La Rédaction de Net-iris, dans Technologies / Technologie & Communications.

Vos réactions...

   

Introduction

Alors qu'une société, qui fournissait des dispositifs biométriques de contrôle d'accès à des entreprises et organismes publics, a été condamnée par la justice pour non-respect de la réglementation et de la doctrine de la CNIL, cette dernière a décidé de faire le point sur les conditions liées à l'installation d'un dispositif biométrique et à sa déclaration préalable.

Il existe trois formes de dispositifs biométriques - qui permettent d'identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales - dont les implications sont différentes en raison de leurs portés. Il s'agit des dispositifs dits :

  • à traces : ADN, empreintes digitales et palmaires. Le recours à cette technologie est particulièrement surveillée, car elle comporte des risques (capturation et reproduction à l'insu de la personne de ses empreintes digitales, par exemple) ;
  • sans traces : tel que le contour de la main ou le réseau veineux des doigts de la main ;
  • intermédiaires : la voix, l'iris de l'oeil, la forme du visage.

En raison du caractère sensible des données exploitées, les dispositifs de reconnaissance biométrique sont par principe soumis à l'autorisation préalable de la Commission conformément à l'article 25 de la loi Informatique et libertés. Chaque organisme doit donc effectuer une demande d'autorisation auprès de la CNIL, sachant qu'il existe un régime simplifié dit "autorisation unique".
En effet, quand un organisme souhaite mettre en oeuvre un dispositif biométrique qui répond aux conditions définies dans l'autorisation unique, il peut effectuer une déclaration simplifiée, en s'engageant à respecter les conditions définies dans ce texte.
En revanche, les traitements ne relevant pas de l'une des autorisations uniques, doivent faire l'objet d'une demande d'autorisation spécifique.

Les formalités à effectuer auprès de la CNIL divergent donc en fonction de nature du dispositif biométrique.

Dispositifs relevant d'une déclaration simplifiée

Il s'agit d'un engagement de conformité du dispositif biométrique aux exigences de la CNIL. La Commission a simplifié les formalités pour les dispositifs biométriques reposant sur la reconnaissance :

  • du contour de la main pour assurer le contrôle d'accès aux lieux de travail et de restauration collective, ainsi que la gestion des horaires (autorisation unique AU-007),
  • de l'empreinte digitale exclusivement enregistrée sur un support individuel pour contrôler l'accès aux locaux professionnels (autorisation unique AU-008),
  • du contour de la main pour assurer le contrôle d'accès au restaurant scolaire (autorisation unique AU-009),
  • du réseau veineux des doigts de la main pour contrôler l'accès aux locaux sur les lieux de travail (autorisation AU-019).

Dispositifs relevant d'une demande d'autorisation spécifique

Il s'agit d'un dispositif biométrique qui ne relève pas d'une autorisation unique. Le déclarant doit adresser à la Commission une demande d'autorisation. Pour délivrer une autorisation, la CNIL se réfère à quatre principes :

  • la finalité du traitement,
  • la proportionnalité entre la finalité et les risques en matière de protection des données et de la vie privée,
  • la sécurité,
  • l'information des personnes concernées.

Sur la base de ces critères, la CNIL a, en particulier, subordonné la création d'une base centralisée de données d'empreintes digitales à un "fort impératif de sécurité". Si le recours à l'empreinte digitale, technique "à traces", est très performant en matière d'identification des personnes, cette technique demeure risquée en termes d'usurpation d'identité, ce qui justifie que son usage soit encadré.

A titre d'exemples, la CNIL a pour l'heure refusé l'utilisation d'un dispositif reposant sur l'empreinte digitale pour contrôler l'accès à un établissement scolaire ainsi que la présence des élèves, mais autorisé l'expérimentation d'un système de reconnaissance de l'empreinte digitale avec base centralisée ayant pour finalité le contrôle de l'identité des patients d'un hôpital pris en charge en radiothérapie.

Obligation d'information des sujets concernés

Dans tous les cas, les personnes concernées par le dispositif biométrique, qu'il s'agisse de salariés, clients, patients, élèves, etc., doivent être clairement informées de ses conditions d'utilisation, de son caractère obligatoire ou facultatif, des destinataires des informations collectées et des modalités d'exercice de leurs droits d'opposition, d'accès et de rectification.

Parfois, la réglementation exige que les instances représentatives du personnel soient consultées et informées avant la mise en oeuvre de tels dispositifs.

© 2011 Net-iris

   

Inscription JuriTravail Avocats

Pour approfondir ce sujet :

Commentaires et réactions :



-