Dossier d'actualité

La biométrie : identification des individus à partir de caractères biologiques

Révisé le 26/11/2013, par La Rédaction de Net-iris, dans Technologies.

Vos réactions...

   

Introduction

La biométrie est une méthode d'identification des individus à partir de caractères biologiques, dont l'empreinte digitale est la technologie dominante. De nos jours, la biométrie s'est largement diversifiée et porte le plus généralement sur le contour de la main, la reconnaissance faciale, le réseau veineux, l'ADN, l'identification par l'iris ou encore par la voix.

De nombreuses entreprises, enseignes commerciales, écoles, mairies, hôpitaux, aéroports, etc. ont déjà recours à un système biométrique, pour des raisons diverses. En 2014, la perte ou l'oubli de ses moyens de paiement pourrait ne plus inquiéter les consommateurs !

Depuis 2003, date à laquelle l'Office parlementaire d'évaluation des choix scientifiques et technologiques s'est penché sur la question de la biométrie, de nombreux rapports, avis et recommandations ont été publiés par de nombreuses instances (CNIL, CCNE, etc.) afin de poser des limites au recours à cette technologie, parfois envahissante et dangereuse pour les droits et libertés individuelles.

Néanmoins, ces technologies peuvent offrir des avantages non-négligeables pour leurs utilisateurs, c'est pourquoi la CNIL participe, en l'encadrant, au développement de la biométrie.

Les procédés d'identification utilisés

  1. moyens de reconnaissance de particularités morphologiques : les photographies de la face et les empreintes digitales sont maintenant numérisées facilitant leur stockage et leur accès.
  2. procédés plus ou moins fiables et plus ou moins intrusifs : géométrie de la main, réseaux veineux des doigts et du bras, reconnaissance de la rétine et de son réseau veineux, et de l'iris.
  3. reconnaissance de particularités du comportement : la reconnaissance vocale, de la frappe au clavier, de la démarche d'un individu.
  4. méthodes d'identification par analyse de l'ADN : en principe les caractéristiques génétiques contenues dans les régions codantes ne sont conservées et utilisées qu'à des fins médicales ou de recherche scientifique.

Existe t-il des différences majeures entre les systèmes biométriques ?

Par principe, on distingue les techniques biométriques suivant qu'elles laissent ou non "des traces". Par exemple, les empreintes digitales (qui laissent des traces) peuvent être exploitées pour l'identification des personnes, mais des garanties particulières doivent être prévues afin d'éviter qu'une base de données d'empreintes digitales soit utilisée à des fins étrangères à sa finalité première.

D'une manière générale, la CNIL s'oppose à la création de bases de données d'empreintes digitales sur les lieux de travail, en l'absence d'un impératif de sécurité incontestable comme la protection des inventions, la lutte contre l'espionnage industriel ou encore la lutte contre le terrorisme (notamment chimique et biologique).

Par contre, elle n'est pas opposée à la mise en place de dispositifs biométriques qui ne laissent pas de traces, comme la reconnaissance du contour de la main ou de l'iris des salariés. Il en est de même des dispositifs pour lesquels le gabarit de l'empreinte digitale est uniquement stocké dans un support personnel, comme une carte à puce (ex : utilisation d'un moyen de paiement).

La biométrie : pour quelle utilisation ?

  • carte bancaire : authentification du consommateur à l'aide de son doigt (réseau veineux) au lieu de saisir son code secret (France)
  • carte de fidélité commerciale : stockage de l'empreinte digitale sur la carte de fidélité
  • paiement du commerçant : reconnaissance des principaux points de l'empreinte digitale du pouce (Allemagne)
  • passer un ordre de paiement ou virement bancaire : identification des veines de la paume de la main (au Japon)
  • ouverture et démarrage de la voiture, de l'ordinateur : empreinte digitale
  • accès des élèves à la cantine : reconnaissance de la géométrie de la main
  • contrôle du temps de travail des salariés : lecteur biométrique du contour de la main et code d'accès
  • restriction d'accès à un espace de travail : reconnaissance du contour de la main et code d'accès
  • transmission des codes d'accès des employés : reconnaissance du réseau veineux du doigt et de la voix
  • pièce d'identité des gens de mers : empreinte digitale traduite sous forme de chiffres dans un code-barre
  • passeports, titres de séjours et visas européens : photo et empreintes digitales insérés dans une puce sans contact
  • accès aux zones réservées de sûreté des aéroports : reconnaissance de l'empreinte digitale avec carte d'accès individuel
  • aéroport et bateaux de croisière : empreintes digitales et photographie numérique du voyageur (Etats-Unis)
  • aéroport : puce RFID (sans contact à radiofréquences), empreinte digitale et thermo-impression sur carte (France - programme Pegase)
  • dispositif biométrique de reconnaissance de l'empreinte digitale, afin de contrôler l'identité des patients pris en charge en radiothérapie
  • etc.

Les risques liés à l'utilisation de la biométrie

Ils sont divers et varient en fonction de la technologie utilisée. Les plus souvent cités sont la fraude, l'usurpation d'identité, le détournement de la finalité de la base de donnée biométrique, le croisement d'information, l'atteinte à la vie privée.

La CNIL veille...

La Commission Nationale Informatique et Libertés (CNIL) est la seule autorité à disposer d'un pouvoir d'autorisation expresse des dispositifs biométriques sur le sol français. Elle a publié début 2008 un document contenant les principaux critères sur lesquels elle se fonde pour autoriser ou refuser le recours à des dispositifs reposant sur la reconnaissance des empreintes digitales avec un stockage sur un terminal de lecture-comparaison ou sur un serveur.

Les dispositifs biométriques ne sont justifiés que s'ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes :

  1. la finalité du dispositif : elle doit être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme tel que la protection de l'intégrité physique des personnes, celle des biens et des installations ou encore celles de certaines informations. Il s'agit par exemple du contrôle d'accès à une centrale nucléaire, à une cellule de production de vaccins, à un site Seveso II, à un bloc opératoire dans un CHU, à l'utilisation de matériaux dangereux.
  2. la proportionnalité : le système proposé doit être adapté à la finalité préalablement définie eu égard aux risques qu'il comporte en matière de protection des données à caractère personnel.
  3. la sécurité : le dispositif doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données
  4. l'information des personnes concernées : elle doit être réalisée dans le respect de la loi "informatique et libertés" et, le cas échéant, du Code du travail.
  5. la pertinence du choix de la technique : elle doit être dictée par les contraintes liées à l'utilisation du dispositif. En cas de recours aux dispositifs les plus lourds, les raisons de l'éviction des autres dispositifs biométriques doivent être exposées.

Une restriction à l'usage de la biométrie sur le lieu de travail

Les organismes qui recourent à un dispositif biométrique pour contrôler les horaires de leur personnel et qui ont effectué un engagement de conformité avant le 12 octobre 2012, peuvent continuer de l'utiliser pendant une période de 5 ans. Passé ce délai, ils devront arrêter de recourir à la fonctionnalité biométrique, ce qui n'impliquera pas systématiquement de changer de matériel.
Les organismes peuvent en effet paramétrer le système pour inhiber la fonction biométrique et utiliser, à la place, des codes, cartes ou/ et badges sans biométrie.

Toutefois, les dispositifs de contour de la main peuvent toujours être utilisés pour contrôler l'accès à des locaux ou gérer la restauration sur les lieux de travail. Ces traitements continuent de faire l'objet d'un engagement de conformité à l'AU-007

Le fait d'installer un dispositif biométrique pour d'autres finalités que celles couvertes par l'AU-007 doit donner lieu à des demandes d'autorisation spécifiques, qui sont examinées au cas par cas par la CNIL.

La CNIL a annoncé en octobre 2012, qu'en raison du "risque accru de détérioration du climat social, allant à l'encontre de la relation de confiance employeur-salarié", d'une part, et du fait que la biométrie aux fins de contrôle des horaires de travail est disproportionné au but recherché, d'autre part, il est préférable de limiter le contrôle des horaires aux outils classiques, comme la "pointeuse à badge".

© 2013 Net-iris

   

Inscription JuriTravail Avocats

Pour approfondir ce sujet :

 57 publications associées à ce dossier :


Consultez l'intégralité des 57 publications du dossier :
La biométrie : identification des individus à partir de caractères biologiques
.

Commentaires et réactions :



-