La biométrie : identification des individus à partir de caractères biologiques
La biométrie est une méthode d'identification des individus à partir de caractères biologiques, dont l'empreinte digitale est la technologie dominante. De nos jours, la biométrie s'est largement diversifiée et porte le plus généralement sur le contour de la main, la reconnaissance faciale, le réseau veineux, l'ADN, l'identification par l'iris ou encore par la voix.
De nombreuses entreprises, enseignes commerciales, écoles, mairies, hôpitaux, aéroports, etc. ont déjà recours à un système biométrique, pour des raisons diverses.
Depuis 2003, date à laquelle l'Office parlementaire d'évaluation des choix scientifiques et technologiques s'est penché sur la question de la biométrie, de nombreux rapports, avis et recommandations ont été publiés par de nombreuses instances (CNIL, CCNE, etc.) afin de poser des limites au recours à cette technologie, parfois envahissante et dangereuse pour les droits et libertés individuelles.
Néanmoins, ces technologies peuvent offrir des avantages non-négligeables pour leurs utilisateurs, c'est pourquoi la CNIL participe, en l'encadrant, au développement de la biométrie.
Les procédés d'identification utilisés
- moyens de reconnaissance de particularités morphologiques : les photographies de la face et les empreintes digitales sont maintenant numérisées facilitant leur stockage et leur accès.
- procédés plus ou moins fiables et plus ou moins intrusifs : géométrie de la main, réseaux veineux des doigts et du bras, reconnaissance de la rétine et de son réseau veineux, et de l'iris.
- reconnaissance de particularités du comportement : la reconnaissance vocale, de la frappe au clavier, de la démarche d'un individu.
- méthodes d'identification par analyse de l'ADN : en principe les caractéristiques génétiques contenues dans les régions codantes ne sont conservées et utilisées qu'à des fins médicales ou de recherche scientifique.
Existe t-il des différences majeures entre les systèmes biométriques ?
Par principe, on distingue les techniques biométriques suivant qu'elles laissent ou non "des traces". Par exemple, les empreintes digitales (qui laissent des traces) peuvent être exploitées pour l'identification des personnes, mais des garanties particulières doivent être prévues afin d'éviter qu'une base de données d'empreintes digitales soit utilisée à des fins étrangères à sa finalité première.
D'une manière générale, la CNIL s'oppose à la création de bases de données d'empreintes digitales sur les lieux de travail, en l'absence d'un impératif de sécurité incontestable comme la protection des inventions, la lutte contre l'espionnage industriel ou encore la lutte contre le terrorisme (notamment chimique et biologique).
Par contre, elle n'est pas opposée à la mise en place de dispositifs biométriques qui ne laissent pas de traces, comme la reconnaissance du contour de la main ou de l'iris des salariés. Il en est de même des dispositifs pour lesquels le gabarit de l'empreinte digitale est uniquement stocké dans un support personnel, comme une carte à puce (ex : utilisation d'un moyen de paiement).
La biométrie : pour quelle utilisation ?
- carte bancaire : authentification du consommateur à l'aide de son doigt (réseau veineux) au lieu de saisir son code secret (France)
- carte de fidélité commerciale : stockage de l'empreinte digitale sur la carte de fidélité
- paiement du commerçant : reconnaissance des principaux points de l'empreinte digitale du pouce (Allemagne)
- passer un ordre de paiement ou virement bancaire : identification des veines de la paume de la main (au Japon)
- ouverture et démarrage de la voiture, de l'ordinateur : empreinte digitale
- accès des élèves à la cantine : reconnaissance de la géométrie de la main
- contrôle du temps de travail des salariés : lecteur biométrique du contour de la main et code d'accès
- restriction d'accès à un espace de travail : reconnaissance du contour de la main et code d'accès
- transmission des codes d'accès des employés : reconnaissance du réseau veineux du doigt et de la voix
- pièce d'identité des gens de mers : empreinte digitale traduite sous forme de chiffres dans un code-barre
- passeports, titres de séjours et visas européens : photo et empreintes digitales insérés dans une puce sans contact
- accès aux zones réservées de sûreté des aéroports : reconnaissance de l'empreinte digitale avec carte d'accès individuel
- aéroport et bateaux de croisière : empreintes digitales et photographie numérique du voyageur (Etats-Unis)
- aéroport : puce RFID (sans contact à radiofréquences), empreinte digitale et thermo-impression sur carte (France - programme Pegase)
- dispositif biométrique de reconnaissance de l'empreinte digitale, afin de contrôler l'identité des patients pris en charge en radiothérapie
- etc.
Les risques liés à l'utilisation de la biométrie
Ils sont divers et varient en fonction de la technologie utilisée. Les plus souvent cités sont la fraude, l'usurpation d'identité, le détournement de la finalité de la base de donnée biométrique, le croisement d'information, l'atteinte à la vie privée.
La CNIL veille...
La Commission Nationale Informatique et Libertés (CNIL) est la seule autorité à disposer d'un pouvoir d'autorisation expresse des dispositifs biométriques sur le sol français. Elle a publié début 2008 un document contenant les principaux critères sur lesquels elle se fonde pour autoriser ou refuser le recours à des dispositifs reposant sur la reconnaissance des empreintes digitales avec un stockage sur un terminal de lecture-comparaison ou sur un serveur.
Les dispositifs biométriques ne sont justifiés que s'ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes :
- la finalité du dispositif : elle doit être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme tel que la protection de l'intégrité physique des personnes, celle des biens et des installations ou encore celles de certaines informations. Il s'agit par exemple du contrôle d'accès à une centrale nucléaire, à une cellule de production de vaccins, à un site Seveso II, à un bloc opératoire dans un CHU, à l'utilisation de matériaux dangereux.
- la proportionnalité : le système proposé doit être adapté à la finalité préalablement définie eu égard aux risques qu'il comporte en matière de protection des données à caractère personnel.
- la sécurité : le dispositif doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données
- l'information des personnes concernées : elle doit être réalisée dans le respect de la loi "informatique et libertés" et, le cas échéant, du Code du travail.
- la pertinence du choix de la technique : elle doit être dictée par les contraintes liées à l'utilisation du dispositif. En cas de recours aux dispositifs les plus lourds, les raisons de l'éviction des autres dispositifs biométriques doivent être exposées.
© 2011 Net-iris
Pour approfondir ce sujet :
54 publications associées à ce dossier :
- Autorisation de recours en entreprise à un dispositif biométrique reposant sur une reconnaissance combinée de caractères biologiques (17/06/2011)
- Conditions exigées par la CNIL en cas d'installation d'un lecteur d'empreinte digitale sur un ordinateur portable (01/04/2011)
- Tout système de reconnaissance biométrique est soumis à déclaration ou autorisation préalable de la CNIL et à son contrôle (16/03/2011)
- Un dispositif de reconnaissance des empreintes digitales n'est justifié que lorsqu'il existe un impératif fort de sécurité (20/05/2010)
- La biométrie au service de la santé des patients (27/04/2010)
- La CNIL autorise le recours à la biométrie comme moyen de paiement (01/04/2010)
- La CNIL autorise le recours à la biométrie pour lutter contre la fraude à un examen prestigieux (16/07/2009)
- Quelles sont les formalités à accomplir pour obtenir un passeport biométrique et sous quel délai est-il délivré ? (01/07/2009)
- Exigences en matière d'installation sur le lieu de travail de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main (29/06/2009)
- L'employeur ne doit pas lors du départ en congé sabbatique du salarié se comporter comme s'il rompait la relation contractuelle (12/05/2009)
- Vers le développement de la carte biométrique d'embarquement (10/03/2009)
- Mise à jour du Guide de la CNIL à l'intention des employeurs et salariés (18/11/2008)
- La CNIL rejette une demande portant sur l'utilisation d'un dispositif reposant sur l'empreinte digitale à l'école (29/09/2008)
- Publication du décret organisant le lancement du passeport biométrique (05/05/2008)
- Conditions liées à l'installation dans les mairies de stations de prise de vue nécessaires pour l'établissement de titres sécurisés (09/04/2008)
Consultez l'intégralité des 54 publications du dossier :
La biométrie : identification des individus à partir de caractères biologiques.
