Actualité : article de veille

Encadrement et limites à l'usage des empreintes digitales en France

Le 07/01/2008 par La Rédaction de Net-iris, dans Technologies / Technologie & Communications.

Vos réactions...


Etant donné que la CNIL est la seule autorité à disposer d'un pouvoir d'autorisation expresse des dispositifs biométriques sur le sol français, elle a, aux termes de longs travaux et après avoir pris en compte la jurisprudence, rendu fin décembre une communication sur la mise en oeuvre des dispositifs de reconnaissance par empreinte digitale avec stokage dans une base de données. Celle-ci contient les principaux critères sur lesquels la Commission se fonde pour autoriser ou refuser le recours à des dispositifs reposant sur la reconnaissance des empreintes digitales avec un stockage sur un terminal de lecture-comparaison ou sur un serveur.
Le document rappelle d'une part, les risques liés à cette technologie dont l'utilisation doit rester exceptionnelle, et d'autre part, souhaite mieux informer les salariés sur leurs droits et permettre aux entreprises et administrations, toujours plus nombreuses à vouloir utiliser la biométrie, de se poser "les bonnes questions informatique et libertés".
Sur 602 traitements biométriques examinés par la Commission en 2007, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données : 21 ont été refusés, 32 autorisés (les 549 autres traitements concernaient essentiellement des systèmes de reconnaissance du contour de la main). Plus d'une centaine de dossiers sont toujours en cours d'instruction, peut-on lire dans le communiqué de la CNIL.

Incidences du stockage des empreintes digitales :
Selon la CNIL l'empreinte digitale (contrairement au contour de la main) est une biométrie à "trace". Chacun laisse des traces de ses empreintes digitales, plus ou moins facilement exploitables, dans beaucoup de circonstances de la vie courante (sur un verre ou une poignée de porte etc.). Ces "traces" peuvent être capturées à l'insu des personnes, notamment en raison de la vente sur internet de kits permettant de relever des empreintes digitales, et être utilisées notamment pour usurper leur identité, c'est pourquoi la CNIL limite à des situations exceptionnelles l'utilisation de ce type de biométrie.

Conditions nécessaires pour que la CNIL donne son accord à leur utilisation :
La CNIL estime que ces dispositifs ne sont justifiés que s'ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes :
- la finalité du dispositif : elle doit être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme tel que la protection de l'intégrité physique des personnes, celle des biens et des installations ou encore celles de certaines informations. Il s'agit par exemple du contrôle d'accès à une centrale nucléaire, à une cellule de production de vaccins, à un site Seveso II, à un bloc opératoire dans un CHU, à l'utilisation de matériaux dangereux.
- la proportionnalité : le système proposé doit être adapté à la finalité préalablement définie eu égard aux risques qu'il comporte en matière de protection des données à caractère personnel.
- la sécurité : le dispositif doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données
- l'information des personnes concernées : elle doit être réalisée dans le respect de la loi "informatique et libertés" et, le cas échéant, du Code du travail.
Dans sa communication, la CNIL liste des activités, services ou entreprises pouvant être admises, a priori, à utiliser ce type de contrôle biométrique. Notons que ces autorisation relèvent néanmoins d'un examen au cas par cas. Elle indique aussi les situations dans lesquelles elle estime ce recours non justifié.

La CNIL souhaite que les dispositifs biométriques moins risqués soient privilégiés :
Bien que le recours à la biométrie ne soit pas anodin, la CNIL estime cependant que les dispositifs reposant sur le stockage des empreintes digitales dans un support individuel comportent moins de risques. Aussi, ils bénéficient d'un régime d'autorisation simplifié.
Elle explique que si le dispositif a pour finalité le contrôle de l'accès aux locaux par les employés l'autorisation sera délivrée automatiquement dans un délai d'une semaine. La procédure consiste, dans ce cas, à se connecter au site de la CNIL et effectuer un engagement de conformité à l'autorisation unique AU-007.
Les dispositifs reposant sur la reconnaissance du contour de la main bénéficient aussi d'une procédure d'autorisation simplifiée, car le contour de la main est une donnée biométrique qui ne laisse pas de traces susceptibles d'être captées à l'insu de la personne et d'être utilisées à des fins étrangères à la finalité initiale. Il existe ainsi l'autorisation (n°AU-007) relative aux dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail, et celle (n°AU-009) relative aux traitements de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire.

© 2008 Net-iris

Commentaires et réactions :