Actualité : article de veille

Autorisation de recours en entreprise à un dispositif biométrique reposant sur une reconnaissance combinée de caractères biologiques

Le 17/06/2011, par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...

   

Introduction

La biométrie est une méthode d'identification des individus à partir de caractères biologiques, dont l'empreinte digitale est la technologie dominante. De nos jours, la biométrie s'est largement diversifiée et porte le plus généralement sur le contour de la main, la reconnaissance faciale, le réseau veineux, l'ADN, l'identification par l'iris ou encore par la voix.
Le plus souvent, les entreprises ont recours à un dispositif de reconnaissance biométrique notamment en raison des contraintes et justifications imposées par les autorités comme la CNIL.

Pour la première fois, la CNIL a autorisé une entreprises à se doter d'un dispositif de contrôle d'accès sur les lieux de travail recourant, de manière quasi-simultanée, à deux biométries : l'empreinte digitale et le réseau veineux du doigt de la main.
Cette technologie repose sur la reconnaissance de l'entrelacement des vaisseaux sanguins qui, par rapport à l'empreinte digitale, présente l'avantage d'être caché sous la peau si bien qu'il n'est pas possible, avec les moyens actuels, de capturer et copier cette biométrie à l'insu de la personne.

Dans la demande qui lui a été soumise, la Commission a estimé que l'entreprise avait pris des garanties suffisantes et que la finalité du contrôle d'accès - s'assurer de l'authenticité de la personne qui accède aux locaux soumis à accès autorisé - était satisfaite.

En outre, elle a considéré "qu'en l'état actuel de la technique, le risque d'usurpation d'identité était traité de manière appropriée par la combinaison des deux biométries. Car si une empreinte digitale peut être reproduite à l'insu de la personne concernée, le réseau veineux des doigts de la main ne peut pas l'être".
En effet, la Commission a constaté après expertise que le dispositif présenté permettait de limiter, de manière significative, le risque de détournement de finalité grâce à de nombreuses mesures de sécurité. Ces mesures sont les suivantes :

  • stockage des données dans le lecteur biométrique, et non sur un serveur,
  • chiffrement dit "fort" avec une clé spécifique à chaque lecteur,
  • protection physique des composants,
  • système de signalement de toute tentative d'accès au lecteur.

Rappelons qu'en matière de recours à des technologies biométriques, les décisions de la CNIL sont prises de manière individuelle et spécifique. En conséquence, "seule l'entreprise qui a sollicité l'autorisation peut s'en prévaloir", de sorte que si d'autres organismes souhaitent avoir recours à ce type de dispositif, elle doivent déposer une demande d'autorisation spécifique à la CNIL.

La distinction des principaux dispositifs biométriques

Il existe à ce jour plusieurs procédés d'identification et de reconnaissance biométriques. On peut les regrouper en trois catégories :

  • les dispositifs biométriques "à traces" :
    Elles sont appelées ainsi car les personnes les laissent à leur insu sur tous les objets qu'elles touchent. Il s'agit des empreintes digitales et palmaires.
    Les technologies reposant sur ces dispositions biométriques sont particulièrement sensibles car elles présentent un risque : ces traces peuvent éventuellement être capturées et reproduites à l'insu des personnes (fabrication d'un faux doigt par exemple).

  • les dispositifs biométriques "sans traces" :
    Il s'agit ici du contour de la main ou du réseau veineux des doigts de la main. Ces dispositifs sont plus ou moins fiables et plus ou moins intrusifs.

  • les dispositifs biométriques dits "intermédiaires", tels que la voix, l'iris de l'oeil, la forme du visage.

La réglementation applicable avant leur utilisation

Conformément à l'article 25 de la loi Informatique et Libertés, les dispositifs de reconnaissance biométrique sont soumis à l'autorisation préalable de la CNIL. Chaque organisme (entreprise, école, hôpital, etc.) doit effectuer une demande d'autorisation préalable et individuelle auprès de la CNIL.

Les organismes qui souhaitent mettre en oeuvre un dispositif biométrique qui répond aux conditions définies dans une autorisation unique, doivent effectuer une déclaration simplifiée, en s'engageant à respecter les conditions définies par la Commission. La CNIL peut, à tout moment, effectuer un contrôle sur place pour vérifier la réalité de cet engagement.

Les dispositifs relevant d'une déclaration simplifiée (engagement de conformité)

La Commission a simplifié les formalités déclaratives pour les dispositifs biométriques reposant sur la reconnaissance :

  • du contour de la main pour assurer le contrôle d'accès aux lieux de travail et de restauration collective, ainsi que la gestion des horaires (autorisation unique AU-007),
  • de l'empreinte digitale exclusivement enregistrée sur un support individuel pour contrôler l'accès aux locaux professionnels (autorisation unique AU-008),
  • du contour de la main pour assurer le contrôle d'accès au restaurant scolaire (autorisation unique AU-009),
  • du réseau veineux des doigts de la main pour contrôler l'accès aux locaux sur les lieux de travail (autorisation unique AU-019)
  • des empreintes digitales par le lecteur d'un ordinateur portable professionnel (Autorisation unique n° AU-027)

Les dispositifs relevant d'une demande d'autorisation spécifique

Si le dispositif biométrique ne relève pas d'une de ces autorisations uniques, une demande d'autorisation doit être adresser à la Commission. Pour délivrer une autorisation, la CNIL se réfère à quatre principes :

  • la finalité du traitement,
  • la proportionnalité entre la finalité et les risques en matière de protection des données et de la vie privée,
  • la sécurité,
  • l'information des personnes concernées.

© 2011 Net-iris

   

Pour approfondir ce sujet :

Commentaires et réactions :



-