Actualité : article de veille

Conditions exigées par la CNIL en cas d'installation d'un lecteur d'empreinte digitale sur un ordinateur portable

Le 01/04/2011, par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...

   

Introduction

Pour assurer la sécurité et l'intégrité des informations sensibles (département des brevets, commercial/ marketing, R&D, etc.), une entreprise peut avoir recours à un dispositif de reconnaissance des empreintes digitales pour gérer le contrôle de l'accès aux ordinateurs portables professionnels. En effet, en cas de vol d'un ordinateur portable, les codes de connexion (2 niveaux d'identifiant) peuvent être cassés et les données recueillies exploitées à mauvais escient.
L'utilisation d'un dispositif complémentaire de reconnaissance de l'empreinte digitale enregistrée sur le poste informatique portable de l'utilisateur, exclusivement détenu par ce dernier, est alors un moyen efficace pour réduire les risques. Mais ce système de contrôle relève de l'article 25 (I, 8°) de la loi Informatique et libertés de 1978 qui soumet à autorisation de la CNIL "les traitements comportant des données biométriques nécessaires au contrôle de l'identité des personnes".

Aussi, pour simplifier le recours à cette technologie prometteuse et en pleine expansion, la CNIL a élaborée une autorisation unique à l'intention des responsables du traitement mettant en oeuvre de tels dispositifs, afin qu'ils puissent simplement adresser à la CNIL un engagement de conformité aux règles exposées ci-dessous.

Conditions liées à la mise en place de l'autorisation unique n°AU-027

Finalités et caractéristiques techniques du traitement

Les postes informatiques portables intégrant des lecteurs d'empreinte digitale sont sous le contrôle exclusif et personnel de l'utilisateur à qui il a été confié. Le fait que l'utilisateur soit en possession du dispositif stockant sa donnée biométrique offre des garanties de confidentialité et de sécurité conformes aux exigences de la loi du 6 janvier 1978 modifiée.

Seuls peuvent faire l'objet d'un engagement de conformité, en référence à l'autorisation unique, les traitements mis en oeuvre par les organismes privés ou publics, à l'exception des traitements mis en oeuvre :

  • pour le compte de l'Etat ;
  • par les établissements accueillant des mineurs, lorsque les personnes concernées par le dispositif sont des mineurs.

Ces traitements peuvent uniquement avoir pour finalité le contrôle de l'accès à des postes informatiques portables professionnels limitativement identifiés de l'organisme, à l'exclusion de tout contrôle du temps de travail de l'utilisateur.

Chaque poste informatique portable intégrant un lecteur d'empreinte digitale doit être sous le contrôle exclusif et personnel de l'utilisateur à qui il a été confié.

Le dispositif de reconnaissance des empreintes digitales doit présenter les caractéristiques suivantes, étant précisé qu'une ou plusieurs empreintes digitales peuvent être utilisées :

  • seul le gabarit de l'empreinte digitale, clé biométrique résultat du traitement des mesures par un algorithme, est enregistré sur le poste informatique portable et non une image ou une photographie de l'empreinte digitale ;
  • le gabarit de l'empreinte digitale sera stocké chiffré par l'intermédiaire d'un algorithme cryptographique réputé fort ;
  • le gabarit traité ne doit pas permettre de recalculer l'image correspondant à l'empreinte ;
  • le gabarit de l'empreinte digitale de la personne concernée est exclusivement enregistré sur le poste informatique portable détenu par elle seule et dont le contenu ne peut être lu à son insu ;
  • l'enrôlement ne peut être effectué que sur le poste informatique portable de l'utilisateur, si besoin avec l'aide des personnes habilitées du service en charge de la sécurité informatique ;
  • le contrôle d'accès s'effectue par une comparaison entre le gabarit de l'empreinte digitale du doigt apposé sur le lecteur et le gabarit de l'empreinte digitale enregistré lors de l'enrôlement de l'utilisateur sur le poste informatique portable ;
  • à aucun moment, le gabarit de l'empreinte digitale ne circulera sur un réseau ;
  • lors d'opérations de maintenance du poste informatique portable, les données biométriques sont systématiquement effacées, et la procédure d'enrôlement doit être réitérée ;
  • afin de parer à un possible problème technique lié au dispositif biométrique, une solution alternative d'authentification telle qu'un identifiant et un mot de passe doit pouvoir être paramétrée sur le poste informatique portable. En cas d'utilisation d'un mot de passe, celui-ci doit être d'une longueur d'au moins 8 caractères alphanumériques et comporter au moins un chiffre, une lettre et un caractère de ponctuation.

Données à caractère personnel traitées.

Seules les données à caractère personnel suivantes peuvent être traitées :

  • identifiant d'utilisateur (tel que le patronyme ou pseudonyme, ou un matricule interne) ;
  • mot de passe ;
  • gabarit du ou des empreintes digitales.

Destinataires des informations

Dans la limite de leurs attributions respectives et pour l'exercice des finalités précitées, seules peuvent être destinataires des données, à l'exception du gabarit de l'empreinte digitale, les personnes habilitées du service en charge de la sécurité informatique.

Durée de conservation

La durée de conservation du gabarit de l'empreinte digitale est égale au temps pendant lequel la personne concernée est habilitée à accéder à son poste informatique portable dont l'accès est contrôlé.

Les autres données peuvent, au maximum, être conservées 5 ans après le départ de l'utilisateur.

Mesures de sécurité

Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et, notamment, pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.

L'authentification de l'utilisateur à l'application de gestion du dispositif biométrique s'effectue soit par le dispositif biométrique lui-même, soit par tout autre moyen tel qu'un identifiant et un mot de passe.

Information des personnes

Le responsable du traitement procède également, conformément aux dispositions des articles L2323-13, L2323-14 et L2323-32 du Code du travail et à la législation applicable aux deux fonctions publiques, à l'information et à la consultation des instances représentatives du personnel avant la mise en oeuvre des traitements.

L'information des utilisateurs sera effectuée, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978, modifiée en août 2004, par la diffusion à chaque personne concernée, préalablement à la mise en oeuvre du traitement, d'une note explicative.

Exercice des droits d'accès et de rectification

Le droit d'accès défini au chapitre V de la loi du 6 janvier 1978 modifiée s'exerce auprès du ou des services que le responsable du traitement aura désignés.

© 2011 Net-iris

   

Pour approfondir ce sujet :

Commentaires et réactions :



-