Entreprises et administrations adoptent de plus en plus les techniques de la biométrie pour une identification rapide et efficace des personnes. Cependant elles mettent en jeu des données personnelles à manier avec précaution. La Commission nationale de l’informatique et des libertés apporte sa protection.
Les techniques biométriques reposent sur des procédés très divers : l’ADN, la rétine, l’iris, l’empreinte digitale, l’empreinte palmaire, la reconnaissance du réseau veineux du doigt, la reconnaissance faciale, la géométrie du contour de la main, la voix, l’écriture… Or, celles-ci peuvent porter atteintes aux droits fondamentaux s’il en résulte une surveillance généralisée des individus qui pourrait permettre de tracer chacun dans le monde réel.
Aussi, la loi du 6 août 2004 soumet-elle tous les dispositifs de traitements de données biométriques à l’autorisation de la Cnil et le nombre de demandes d’autorisation pour de tels systèmes ne cesse d’augmenter. La Cnil a cependant admis que certains dispositifs de biométrie puissent bénéficier de formalités allégées, ne nécessitant qu’une simple déclaration de conformité à une autorisation unique émise par la Cnil. Il s’agit notamment des dispositifs de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire, des dispositifs reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail et des dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail. Dans ces cas, une simple déclaration de conformité suffit. Elle peut être faite en ligne.
La Cnil juge de la légitimité du dispositif biométrique mis en œuvre au regard de ses propres critères. Ces conditions sont énumérées dans un Guide de la Cnil.
1er critère : finalité du dispositif. Le dispositif doit être limité au contrôle de l’accès à une zone bien définie pour un nombre déterminé de personnes et ce, afin de protéger l’intégrité de personnes, de biens et d’installations, ou d’informations.
Il n’y a pas de difficulté, en principe, à obtenir de la Cnil des autorisations pour des dispositifs biométriques reposant sur la reconnaissance du contour de la main ou lorsque le gabarit de l’empreinte digitale est stocké dans un support individuel (carte à puce, clé USB) et non dans une base centralisée. La Cnil considère que ces technologies de reconnaissance biométrique présenteraient un danger moindre car elles ne laissent pas de traces susceptibles d’être captées à l’insu de la personne et d’être utilisées à des fins étrangères à la finalité initiale assignée au dispositif. Aucune image n’est conservée, seule la clé biométrique, résultat du traitement des mesures par un algorithme, est associée à l’identité de la personne.
C’est au regard de ces critères que la Cnil a autorisé à plusieurs reprises la mise en place de dispositifs de reconnaissance de la morphologie de la main (pour le Musée du Louvre ou encore pour accéder à une cantine scolaire ). Elle a également autorisé des dispositifs d’empreintes digitales pour l’accès à des zones hautement sécurisées (not. pour la Banque de France ou encore pour contrôler l’accès aux zones de sûretés des aéroports d’Orly et de Roissy ). Elle a encore autorisé l’utilisation d’un dispositif d’accès par empreintes digitales pour un bloc opératoire dans un CHU confronté à des problèmes spécifiques d’intrusion liés au voisinage. On peut ainsi imaginer qu’un tel système soit utilisé afin de permettre un accès informatisé sécurisé des médecins aux dossiers médicaux de leurs patients.
2ème critère : proportionnalité. Le dispositif doit être proportionné à la finalité préalablement définie, à raison des risques qu’il comporte en matière de protection des données à caractère personnel. Il doit être limité au contrôle de l’accès d’un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme tel que la protection de l’intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines informations (par exemple, l’accès à une centrale nucléaire ou encore à une cellule de vaccins). Il ne peut être installé que dans les cas où il est adapté aux risques encourus. Ainsi, si une solution alternative existe (par exemple : badge, Rfid sans données biométriques), elle doit être privilégiée.
La Cnil a ainsi rendu des avis défavorables pour la mise en place de dispositifs biométriques pour accéder à une cantine scolaire ou à des locaux professionnels . Dans les cas visés, elle a considéré que la conservation des données biométriques permettait leur détournement à des fins étrangères à la finalité poursuivie, notamment à fin d’identification d’une personne à partir d’objets les plus divers qu’on a pu toucher ou avoir en main.
3ème critère : sécurité. Des garanties doivent être prises pour que le dispositif permettre à la fois une authentification ou/et une identification fiable des personnes comporter toutes garanties de sécurité pour éviter la divulgation des données.
L’appréciation de la Cnil est sévère comme l’illustre l’avis défavorable qu’elle a émis à la mise en place d’un dispositif de lecture de badges et d’empreintes digitales voulu par une préfecture, considérant que la constitution d’une base de données biométriques ne se justifiait pas, l’identification par badge étant suffisante selon elle pour répondre à l’impératif de sécurité recherché. De même, elle a délivré un avis défavorable à la mise en place, par un centre hospitalier, d’un dispositif de reconnaissance de l’empreinte digitale utilisé pour le contrôle des temps de travail des agents, considérant que les données biométriques étaient stockées non pas sur un support individuel mais dans un lecteur biométrique sur lequel l’employé n’avait aucune maîtrise .
4ème critère : l’information des personnes concernées. Elle doit se faire à la fois dans le respect de la loi informatique et liberté et du Code du travail. On retiendra, à titre de règle générale, que les personnes concernées doivent toujours être individuellement informées de la mise en œuvre des dispositifs biométriques, des modalités de leur droit d’accès aux données et de la finalité des mesures de contrôle.
Première autorisation pour un dispositif reposant sur la reconnaissance vocale. La Cnil a autorisé la mise en œuvre d’un traitement automatisé de données à caractère personnel reposant sur un procédé de reconnaissance vocale et ayant pour finalité la gestion et la réinitialisation des mots de passe utilisés pour accéder au système d’information de la société. Le procédé repose sur la reconnaissance du gabarit de l’empreinte de la voix des employés. Il prévoit que, lors de la procédure d’enrôlement, l’employé procédera à l’enregistrement du gabarit de son empreinte vocale grâce à la répétition de plusieurs couples de prénoms choisis aléatoirement parmi plus de 4000 combinaisons possibles. Pour réinitialiser leur mot de passe informatique, les employés appelleront un serveur vocal. Lors de la réinitialisation d’un mot de passe, le dispositif procédera à une comparaison entre les mots répétés par l’utilisateur au profil de référence, c’est à dire au gabarit de l’empreinte vocale de la personne. Une fois que l’utilisateur a été correctement authentifié, l’application réinitialise le mot de passe et le communique à l’utilisateur. Les données seront conservées le temps de l’existence du compte informatique de l’employé.
Compte tenu des modalités de mise en oeuvre du dispositif et notamment des moyens utilisés pour garantir la sécurité des données et prévenir tout risque d’usurpation d’identité ou d’utilisation des données pour d’autres finalités, la Cnil a considéré que le recours à la constitution d’une base de données de gabarit d’empreintes vocales aux fins de gérer les mots de passe informatique est adapté et proportionné à la finalité assignée au dispositif, au regard de la protection des données personnelles.
