Border Security Conference & Exhibition
Biometrics for Government and Law Enforcement
Security & Counter Terror Expo
Global Iris Recognition Summit
Identity Management Symposium
Connect:ID 2018
Border Management & Technologies Summit 2018
Airport Security Summit
Money 20/20 - Europe
SDW 2018 - Security Document World
OFSEC - Oman Fire, Safety and Security Exhibition
Security Document Summit

Biométrie Online  

Biometrie-Online.Net
est un espace d'information
sur les technologies biométriques.

 

Biometrie-Online.Net
est indépendant
de toute entreprise.

Biometrie-online.Net
est partenaire média
de nombreux évènements
consacrés à la sécurité.

   

Evènements  

Border Security 2018
Mer Fév 21, 2018
Biometrics for Government and Law Enforcement 2018
Lun Fév 26, 2018
Security & Counter Terror Expo
Mar Mar 06, 2018
Global Iris Recognition Summit
Lun Mar 12, 2018
Behavioural Analysis 2018
Mer Mar 14, 2018
L'identité numérique
Jeu Mar 15, 2018 @08:30 - 07:00PM
World Border Security Congress
Jeu Mar 22, 2018
KNOW Identity Conference 2018
Lun Mar 26, 2018
Identity Management Symposium
Mer Avr 04, 2018
Connect:ID
Lun Avr 30, 2018
Japan IT Week
Mer Mai 09, 2018
Border Management & Technologies Summit 2018
Mer Mai 16, 2018
Airport Security Summit
Jeu Mai 17, 2018
Money 20/20 - Europe
Lun Jui 04, 2018
Biometrics and Forensics (IWBF 2018)
Jeu Jui 07, 2018
SDW 2018
Lun Jui 25, 2018
Visum summer school
Jeu Juil 05, 2018
OFSEC
Lun Oct 01, 2018
Security Document Summit
Mer Oct 17, 2018
   

Annonces  

  • BioSSL launches biometrically secured ‘emobi' mobile merchant platform

    BioSSL launches biometrically secured ‘emobi' mobile merchant platform   Given the hassle with POS devices cards and cash sensitive environments, BioSSL is pleased to announce an easy-to-use alternative through its emobi platform. As an electronic mobile platform for merchants and consumers it allows businesses, like telecom operators, to run their

    Lire la suite
  • Spotlight on Matica and CardExchange at SICUR show

    Spotlight on Matica and CardExchange at SICUR show Design, encode, print, authenticate, track – market-leading solutions for identification and visitor management SICUR, International Security Safety & Fire Exhibition, Madrid, Spain, 20-23 February 2018, Stand 10F18 Card manufacturer and ID specialist Databac Group will unveil market-leading solutions for card printing and

    Lire la suite
  • Are you joining the biggest gathering of Security leaders in London?

    Are you joining the biggest gathering of Security leaders in London?   12,552 security experts already confirmed to attend  This year’s event is shaping up to be bigger and better than ever. With 3 weeks to go, 12,552 (and still counting) security professionals have already registered to attend Security &

    Lire la suite
  • Security & Counter Terror Expo. - Just 4 weeks to go until the UK's largest National Security Event

    Security & Counter Terror Expo. - Just 4 weeks to go until the UK's largest National Security Event   Just 4 weeks to go until the UK's largest National Security Event There are only 4 weeks to go until the doors open for the UK's leading National Security Event - Security &

    Lire la suite
  • Fujitsu annonce la disponibilité de sa plate-forme biométrique multimodale basée sur le cloud en tant que service en Australie

    Fujitsu annonce la disponibilité de sa plate-forme biométrique multimodale basée sur le cloud en tant que service en Australie. La solution unique, qui permet aux entreprises de déployer facilement l'authentification biométrique pour se protéger contre les risques de sécurité de plus en plus complexes, est le résultat du partenariat de

    Lire la suite
  • id3 Technologies obtient le statut d'opérateur biométrique en Colombie

    id3 Technologies obtient le statut d'opérateur biométrique en Colombie Depuis le 2 février 2015 Id3 Technologies sécurise biométriquement l’ensemble des transactions réalisées quotidiennement par les 1000 officines notariales colombiennes. A ce jour 1 million d’opérations mensuelles sont traitées en toute sécurité et conformément à la loi colombienne grâce aux solutions

    Lire la suite
  • Assistant Commissioner Mark Rowley's final public address at SCTX

    Assistant Commissioner Mark Rowley's final public address at SCTX   Assistant Commissioner Mark Rowley's final public address In his final week in post following a highly decorated 31 years of service Assistant Commissioner Mark Rowley, Head of National Counter Terrorism Policing will be making his last ever public address at

    Lire la suite
  • Registration for 2018 SDS is open

    Registration for 2018 SDS is open 13th Security Document Summit (SDS) will be held in Oct 17-18, 2018 in China National Convention Center, Beijing and the registration is open now.  Security Document Summit (SDS) focuses on banknote, ID documents, securities, Tax stamp, invoice, certificates, tickets and brand protection, advanced security,

    Lire la suite
  • UK's Leading National Security Event of the year

    UK's Leading National Security Event of the year SCTX is a world-class showcase of the capabilities, strategies and intelligence to keep nations, infrastructure, business and people safe. Email not displaying correctly? View it in your browser. Don't forget to register for the UK's Leading National Security Event of the year

    Lire la suite
  • 2018 World Border Security Congress

    2018 World Border Security Congress Welcome to the latest news update from the 2018 World Border Security Congress . We are delighted that the World Border Security Congress will take place in Madrid, Spain on 20th-22nd March 2018 and, as we get closer to the event preparations are in place for

    Lire la suite
  • 4th Edition of OFSEC - Oman Fire, Safety and Security Exhibition - 01 - 03 October 2018

    4th Edition of OFSEC - Oman Fire, Safety and Security Exhibition - 01 - 03 October 2018 The 4th Edition of OFSEC - Oman Fire, Safety and Security Exhibition will be held from the 01 - 03 October 2018 at the Hall No-5 Oman Convention and Exhibition Centre, Muscat - Sultanate of Oman. OFSEC EXPO 2018

    Lire la suite
  • Get your latest copy of Inside SCTX

    Get your latest copy of Inside SCTX   Download your FREE copy of Inside SCTX Whilst only 13% of terror attacks occur in underground metro stations, the total number of those injured in these attacks accounts for 75% of all terror-related casualties worldwide. DOWNLOAD THE LATEST COPY FOR FREE From inside

    Lire la suite
  • eGates from secunet for faster border control at Vienna International Airport

    eGates from secunet for faster border control at Vienna International Airport [Essen, Germany, 18 December 2017] The airport in Vienna is one of the key hubs to Eastern Europe, and it now relies on automated border control systems (eGates) from secunet. A total of 25 eGates were installed in December

    Lire la suite
  • SDW 2018 conference pass booking is now live

    SDW 2018 conference pass booking is now live Act now to secure your discounted conference pass at SDW 2018 - the world's leading show for high-security documents, government identity, border control and advanced identity management. Buy your pass at: http://www.sdwexpo.com/delegate-booking/ for access to the three day cutting-edge conference, featuring 80+ expert

    Lire la suite
  • World Border Security Congress

    World Border Security Congress Welcome to the latest news update from the 2018 World Border Security Congress . We are delighted that the World Border Security Congress will take place in Madrid, Spain on 20th-22nd March 2018 and look forward to welcoming you to the annual gathering of heads and senior

    Lire la suite
  • The International Border Management and Technology Association

    The International Border Management and Technology Association NEW ORGANISATION AIMS TO STRENGTHEN GLOBAL BORDER SECURITY A former UK Border Force head is behind a new organisation that aims to strengthen border management globally. The International Border Management and Technologies Association (IBMATA) is the brainchild of Tony Smith, who also led

    Lire la suite
  • Banking and Payments in Amsterdam

    Banking and Payments in Amsterdam On Thursday 7 December 2017, the European Association for Biometrics is organizing the seminar at ABN AMRO (HQ), Gustav Mahlerlaan 10, 1082 PP, Amsterdam, Netherlands Following earlier successes of this seminar we will now zoom into more practical issues of biometrics for financial services, such

    Lire la suite
  • BioSSL brings its biometric platform to the Philippines

    BioSSL brings its biometric platform to the Philippines Safer PH Innovations, Inc, a Philippine based company signed an Agency agreement with BioSSL Ltd. Col. Lindsey Rex Sagge PN(M), former Marines Corps Officer, founder and owner of Safer PH Innovations, has a vast experience in all layers of security. Safer PH

    Lire la suite
  • Registration is now open for the UK's Leading National Security Event

    Registration is now open for the UK's Leading National Security Event Registration is now open for the UK's Leading National Security Event Dear Didier, Recent events in Europe have reiterated the challenges faced by security professionals. Understanding the latest threats and the capabilities needed to mitigate them is now more important than

    Lire la suite
  • Money20/20 USA

    Money20/20 USA                 REGISTER NOW               Money20/20 is almost here! We're just a few days away from Vegas, where we'll host the largest industry leaders as they create the future of money. It's not too late to

    Lire la suite
  • Biometrics in Banking and Payments in London

    Biometrics in Banking and Payments in London European Association for Biometrics (EAB) to address the rapid development of biometrics for mobile authentication and online servicesOn Friday 17 November 2017 EAB will organise the seminar Biometrics in Banking and Payments hosted by the prestigious IBM Client Centre in London, UK. The

    Lire la suite
  • World Border Security Congress 2018

    World Border Security Congress 2018 Welcome to the latest news update from the 2018 World Border Security Congress . We are delighted that the World Border Security Congress will take place in Madrid, Spain on 20th-22nd March 2018 and look forward to welcoming you to the annual gathering of heads and

    Lire la suite
  • Report: Africa’s border security challenges and requirements

    Report: Africa’s border security challenges and requirements Countries in Africa are embarking on a major spend to enhance border security capabilities and combat the increasing threats against illegal migration, wildlife security and cross-border smuggling of illicit substances. South Africa, for example, is spending over 20 billion rand as part of

    Lire la suite
  • Leti and Partners in PiezoMAT Project Develop New Fingerprint Technology For Highly Reliable Security and ID Applications

    Leti and Partners in PiezoMAT Project Develop New Fingerprint Technology For Highly Reliable Security and ID Applications Leti today announced that the European R&D project known as PiezoMAT has developed a pressure-based fingerprint sensor that enables resolution more than twice as high as currently required by the U.S. Federal Bureau

    Lire la suite
  • Registration for African Border Management & Security 2017 now open

    Registration for African Border Management & Security 2017 now open Border security and wildlife protection authorities from across Africa and beyond will gather this November in Johannesburg to discuss the future of border security in the region. Nations across Africa are investing to enhance border security capabilities in an effort

    Lire la suite
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
  • 11
  • 12
  • 13
  • 14
  • 15
  • 16
  • 17
  • 18
  • 19
  • 20
   

   

Newsletter  

Inscrivez-vous pour recevoir la newsletter
Recevoir
Vous recevrez un e-mail pour confirmer votre inscription
   

Network  

Le réseau social
de la biométrie

Cliquez ici pour
linkedin_119x32
devenir membre du groupe.

Il y a également des
sous-groupes par modalité

   

Conservation des empreintes digitales

Conservation des empreintes digitales d'une personne non condamnée et droit au respect de la vie privée : condamnation de la France

Portent atteinte au droit au respect de la vie privée (Conv. EDH, art . 8), et ne traduisent pas un juste équilibre entre les intérêts publics et privés en jeu, la conservation et l'enregistrement au fichier automatisé des empreintes digitales par les autorités nationales, alors que leur titulaire, qui avait fait l'objet d'une relaxe, en demandait la suppression.

La protection des données à caractère personnel est fondamentale pour l’exercice du droit au respect de la vie privée. Sont « des données à caractère personnel » les échantillons cellulaires, les profils ADN ou encore les empreintes digitales d’un individu. Leur conservation ou mémorisation s'analyse donc en une atteinte au droit au respect de la vie privée au sens de l'article 8, § 1er, de la Convention européenne des droits de l’homme (Conv. EDH). À ce titre pour être conforme aux exigences conventionnelles, une telle ingérence doit être prévue par la loi, poursuivre un but légitime et être nécessaire dans une société démocratique. La Cour européenne se montre traditionnellement stricte à l’égard de tels fichiers automatisés et utilisés à des fins policières. Ainsi a-t-elle posé en principe que la conservation générale et indifférenciée, sans limitation de temps, d'empreintes digitales, échantillons biologiques et profils ADN de personnes soupçonnées d'avoir commis des infractions mais non condamnées viole l'article 8 de la Conv. EDH (CEDH, grde ch., 4 déc. 2008, S. et Marper c. Royaume-Uni). La France vient à son tour d’être sanctionnée sur cette question par la juridiction strasbourgeoise. Toute comme le Royaume-Uni, la France « n’a pas su ménager un juste équilibre entre les intérêts publics et privés en jeu ».

En l’espèce, dans le cadre de deux enquêtes ouvertes pour vol, qui firent respectivement l’objet d’une relaxe et d’un classement sans suite, les empreintes digitales du requérant furent prélevées. Ce dernier adressa par la suite un courrier au procureur de la République afin que celles-ci soient effacées. Sa demande n’ayant été satisfaite que pour les prélèvements effectués au cours de la première procédure, il forma un recours devant le juge des libertés et de la détention, lequel rejeta sa demande. Le président de la chambre de l’instruction de la cour d’appel de Paris confirma cette ordonnance, et son pourvoi fut finalement rejeté par la Cour de cassation. Saisissant la Cour européenne, le requérant s’est plaint du fait que la conservation des données le concernant au fichier automatisé des empreintes digitales portait atteinte au respect de sa vie privée.

Si la Cour reconnaît qu’en droit français la conservation des empreintes digitales par les autorités nationales constitue bien une ingérence prévue par la loi (C. pr. pén., art. 55-1, Décr. n° 87-249 du 8 avr. 1987 relatif au fichier automatisé des empreintes digitales géré par le ministère de l’Intérieur) et vise un but légitime — la prévention des infractions pénales — ,elle conclut à la violation du droit au respect de la vie privée sur le terrain du principe de proportionnalité. Autrement dit, la Cour remet en cause le fait que ces données soient pertinentes et non excessives par rapport aux finalités pour lesquelles elles sont enregistrées. Il en va de même pour leur durée de conservation.

 S’agissant en premier lieu de la mémorisation des empreintes digitales, le juge européen relève que le refus du procureur de la République de faire procéder à l’effacement des prélèvements effectués lors de la seconde procédure était motivé par la nécessité de préserver les intérêts du requérant, en permettant d’exclure sa participation en cas d’usurpation de son identité par un tiers. Pour le juge, cet argument «  reviendrait, en pratique, à justifier le fichage de l’intégralité de la population présente sur le sol français, ce qui serait assurément excessif et non pertinent » (§ 40).

Par ailleurs, le fichier qui a pour but notamment de « faciliter la poursuite, l’instruction et le jugement des affaires dont l’autorité judiciaire est saisie », est susceptible d’englober de facto toutes les infractions, y compris les simples contraventions, ce qui là encore paraît excessif à la Cour qui compare avec ses arrêts rendus sur la compatibilité du dispositif du fichage des délinquants sexuels au Fichier judiciaire national automatisé des auteurs d'infractions sexuelles (FIJAIS) (CEDH 17 déc. 2009, M.B. c. France CEDH 17 déc. 2009, Bouchacourt c. France CEDH 17 déc. 2009, Gardel c. France).

Enfin, la Cour pointe du doigt le fait que le décret n’opère aucune distinction entre les personnes condamnées et celles qui, comme le requérant, n’ont jamais été reconnues coupables d’infractions. Reprenant les arguments développés dans son arrêt S. et Marperla Cour souligne « le risque de stigmatisation, qui découle du fait que les personnes qui avaient respectivement bénéficié d’un acquittement et d’une décision de classement sans suite — et étaient donc en droit de bénéficier de la présomption d’innocence — étaient traitées de la même manière que des condamnés ».

 Concernant en second lieu de la possibilité d’effacement de ces données, elle considère que le droit de présenter à tout moment une demande en ce sens au juge constitue une garantie « théorique et illusoire » et non « concrète et effective ». De surcroit, les chances de succès des demandes d’effacement étant « pour le moins hypothétiques » selon la Cour, la période d’archivage de 25 ans est en pratique assimilable à une conservation indéfinie.

En conséquence, la conservation des empreintes du requérant a constitué une atteinte disproportionnée à son droit au respect de sa vie privée. l’État français a outrepassé sa marge d’appréciation en la matière, le régime de conservation dans le fichier litigieux des empreintes digitales de personnes soupçonnées d’avoir commis des infractions mais non condamnées ne traduisant pas un juste équilibre entre les intérêts publics et privés concurrents en jeu.

CEDH 18 avr. 2013, M.K. c. France, n°19522/09

Références

■ Article 8 de la Convention européenne des droits de l’homme – Droit au respect de la vie privée et familiale.

« 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance.

2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui. »

■ Article 55-1 du Code de procédure pénale

« L'officier de police judiciaire peut procéder, ou faire procéder sous son contrôle, sur toute personne susceptible de fournir des renseignements sur les faits en cause ou sur toute personne à l'encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu'elle a commis ou tenté de commettre l'infraction, aux opérations de prélèvements externes nécessaires à la réalisation d'examens techniques et scientifiques de comparaison avec les traces et indices prélevés pour les nécessités de l'enquête.

Il procède, ou fait procéder sous son contrôle, aux opérations de relevés signalétiques et notamment de prise d'empreintes digitales, palmaires ou de photographies nécessaires à l'alimentation et à la consultation des fichiers de police selon les règles propres à chacun de ces fichiers.

Le refus, par une personne à l'encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu'elle a commis ou tenté de commettre une infraction, de se soumettre aux opérations de prélèvement, mentionnées aux premier et deuxième alinéas ordonnées par l'officier de police judiciaire est puni d'un an d'emprisonnement et de 15 000 euros d'amende. »

■ CEDH, grde ch., 4 déc. 2008, n° 30562/04 et 30566/04, S. et Marper c. Royaume-UniJCP G 2009. I. 104, § 10, obs. F. Sudre.

■ CEDH 17 déc. 2009, M.B. c. France, n° 22115/06.

■ CEDH 17 déc. 2009, Bouchacourt c. France, n° 5335/06.

■ CEDH 17 déc. 2009, Gardel c. Francen° 16428/05.

Source : DALLOZ Etudiant

Biométrie et vie privée

La biométrie, une technologie protectrice de la vie privée ?

Une biométrie protectrice de la vie privée ? L'idée peut paraître saugrenue, voire provocatrice, au vu de la récente polémique provoquée par Apple et son iPhone 5S doté d'un capteur biométrique. Elle mérite pourtant que l'on s'y intéresse à l'heure où la biométrie s'invite progressivement dans nos vies quotidiennes. Equipements mobiles, banque en ligne, commerce électronique... la biométrie dite de « confort » ou « grand public » a de beaux jours devant elle. Ces nouveaux usages interpellent la CNIL elle-même, actuellement en cours réflexion pour faire évoluer sa doctrine. La vie privée des utilisateurs en sera-t-elle pour autant sacrifiée ? Rien n'est moins sûr. En effet, des projets de recherche sont menés pour développer des technologies biométriques plus protectrices de la vie privée. Biométrie révocable, anonyme ou cryptage biométrique pourraient être la solution pour concilier confort et vie privée...

Biométrie « non traçable »

Le terme « untreacable biometrics » a été développé par le Dr Ann Cavoukian, Commissaire à l'Information et à la protection de la vie privée de l'Ontario. Il regroupe trois types de technologies dites de « Privacy by Design » : le cryptage biométrique, la biométrie révocable et la biométrie « anonyme » (en anglais « anonymous biometrics », la CNIL préfère parler de biométrie « désidentifiée »).

L'objectif de ces technologies de biométrie « untreacable » est de transformer de manière irréversible les données biométriques de la personne afin de ne pas pouvoir remonter jusqu'à elle en utilisant ses données biométriques (« data connectivity »). La notion de « traçabilité » ne se rapporte pas ici à la notion de trace physique laissée par la personne, via ses empreintes digitales par exemple, mais concerne plutôt la façon dont on peut retrouver son identité en utilisant un gabarit de ses données biométriques, laissé dans tel ou tel système.

  • La biométrie « untreacable » présente cinq caractéristiques en faveur de la protection des données :
  • La donnée biométrique brute et le gabarit biométrique ne sont pas conservés ;
  • Il est impossible de recréer une image ou un gabarit de la donnée biométrique à partir de l'information conservée, la rendant ainsi non traçable ;
  • Un grand nombre de gabarits différents non traçables peuvent être créés à partir de la même donnée biométrique pour différentes applications ;
  • Les gabarits non traçables ainsi créés pour différentes applications ne peuvent pas être liés ensemble ;
  • Un gabarit non traçable peut être annulé ou renouvelé.

Cryptage biométrique

Le cryptage biométrique permet de transformer de manière irréversible les données biométriques en données qui ne contiennent aucune information sur les données biométriques sources fournies par la personne. Ainsi, aucune donnée biométrique n'est conservée, ni aucun gabarit biométrique.

Les premières recherches sur le cryptage biométrique datent du milieu des années 1990. Le Dr George Tomko, expert en protection de la vie privée et concepteur de systèmes biométriques, a déposé entre 1994 et 2000, conjointement avec ses co-inventeurs, un certain nombre de brevets relatifs à cette technologie. En 2002, il faisait remarquer que « la biométrie, si elle est utilisée telle qu'elle est commercialisée actuellement par [la plupart] des fournisseurs (où le gabarit biométrique est utilisé comme moyen d'identification ou de vérification), portera atteinte à la vie privée et mettra en péril nos libertés. En deux mots, la biométrie fondée sur un gabarit ne respecte pas la vie privée. Chaque fois que la vérification ou l'identification reposent sur la comparaison avec un gabarit stocké, cela crée des conditions qui, au fil du temps, compromettront la vie privée – que ce soit du fait d'une entreprise ou des pouvoirs publics, notamment lorsqu'il faudra faire face à la prochaine situation de crise nationale. »

La technique, dont les travaux de recherche ont commencé à partir du milieu des années 1990, a atteint aujourd'hui une certaine maturité qui permet d'envisager concrètement son intégration dans les nouveaux systèmes d'authentification biométrique. Les produits biométriques « sérieux » cryptent d'ailleurs désormais par défaut les données biométriques.

Le cryptage biométrique ne consiste pas à chiffrer les données brutes fournies ni les gabarits biométriques, mais plutôt à créer une clé à partir de la donnée biométrique qui servira à chiffrer et à déchiffrer un identifiant. Cette clé sera générée de manière aléatoire et différente à chaque demande d'authentification. Ni la clé, ni la donnée biométrique ne sont conservées. Seule la version « hachée » de la clé est conservée. Il est également impossible de relier les clés entre elles, ni de les tracer. Le cryptage biométrique permet ainsi d'utiliser la biométrie de manière anonyme et sans trace.

Il permet en outre de prendre en compte et de réduire trois risques liés à la protection des données personnelles :

  • la minimisation de la collecte de données est assurée car aucune donnée biométrique, ni gabarit ne sont conservés. Cela permet de réduire les risques de perte ou de détournement de finalité ;
  • la personne garde le contrôle sur ses données ;
  • la sécurité est augmentée.

Si la clé cryptographique se trouvait corrompue, il serait facile de la révoquer et d'en produire une nouvelle, sans compromettre la donnée biométrique. Cette technologie est soutenue depuis les années 1990 par le Dr. Ann Cavoukian.

Biométrie révocable

La biométrie révocable fait également partie des technologies de biométrie non traçable. Il s'agit dans ce cas de créer, à partir de la donnée biométrique, un gabarit « transformé » et non biométrique qui sera seul conservé. La donnée biométrique n'est pas conservée, comme pour le cryptage biométrique. La comparaison se fait entre les deux gabarits « transformés ». Il est ici aussi possible d'annuler et de renouveler un gabarit.

Cette technologie fait d'ailleurs partie d'un projet de recherche européen, TURBINE , coordonné par la société Morpho, au sein du septième programme-cadre (2007-2013) et consistant à développer des solutions innovantes de gestion des identités. Ce programme s'adresse plus particulièrement au secteur privé, et vise le développement d'applications biométriques d'authentification par empreinte digitale dans le secteur du commerce électronique, de la banque en ligne, de la téléphonie mobile.

Dans un avis du 1er février 2011 , le Commissaire européen à la protection des données a apporté son soutien au projet TURBINE, qui s'inscrit selon lui dans sa feuille de route. Ce projet a permis de stimuler le milieu de la recherche sur les technologies biométriques protectrices de la vie privée. Il parle d'ailleurs de Privacy by Design au sujet de ce projet, notamment grâce à ses deux piliers que sont la non réversibilité des données biométriques et la révocabilité des clés biométriques ainsi créées. Il souligne également la façon exemplaire dont a été mené le projet, orienté pendant toute sa durée sur la protection de la vie privée, tant dans ses aspects techniques qu'organisationnels.

Biométrie anonyme

Enfin, la biométrie anonyme ou « désidentifiée » (terme préféré par la CNIL) est un dispositif dans lequel les données biométriques ne sont reliées à aucune donnée personnelle permettant d'identifier la personne, et qui ne permet aucune interconnexion avec un autre système où elle pourrait être identifiée. Elle peut être utilisée pour les dispositifs d'authentification seulement, en utilisant par exemple un tiers de confiance qui authentifierait la donnée biométrique à la demande de la personne ou du fournisseur de service. La seule donnée communiquée serait un numéro de transaction. Cela demanderait de la part du tiers de confiance qu'il mette en place des procédures sécurisées et adéquates d'enrôlement, de conservation, de comparaison...

Selon Max Snijder , il faut respecter quatre conditions pour mettre en œuvre un système d'authentification biométrique anonyme : la ou les donnée(s) biométrique(s) utilisée(s) doi(ven)t être tenue(s) secrète(s) ; la donnée biométrique et le gabarit ne doivent pas être conservés sur le système ; la donnée de référence qui sera conservée ne doit pas permettre de retrouver la donnée biométrique source ni le gabarit ; la donnée de référence conservée et créée à partir de la donnée biométrique ne doit pas pouvoir être liée à une donnée personnelle d'identification.

Ces technologies présentent ainsi de nombreux avantages pour des utilisations d'authentification, notamment sur Internet, afin d'éviter le piratage et le détournement des données, et dans un contexte d'interopérabilité grandissante. La biométrie non traçable se rapproche ainsi du token d'authentification forte.

Dans sa recommandation du 22 mars 2012 sur l'utilisation de la reconnaissance faciale en ligne, le G29, qui regroupe les autorités européennes de protection des données, fait expressément référence au cryptage biométrique et à la biométrie non traçable comme solutions permettant de protéger la vie privée des personnes . Il fait également référence au cryptage biométrique dans sa recommandation du 27 avril 2012 sur l'évolution des technologies biométriques. Se basant sur les travaux du Dr. Ann Cavoukian, le G29 convient que la technologie de cryptage biométrique est un terrain fertile pour la recherche et qu'elle a acquis une maturité suffisante pour un examen de politique publique plus large, pour le développement de prototypes et pour l'examen d'applications.

Ainsi, la biométrie ne peut être systématiquement associée au sacrifice de la vie privée. Bien au contraire, des solutions sont possibles pour concilier confort et vie privée.

Marion Briquet

Dans le cadre du mastère spécialisé en management et protection des données à caractère personnel de l’ISEP, Marion Briquet a réalisé sa thèse professionnelle sur le thème « Usages non régaliens de la biométrie : quel équilibre entre confort et vie privée ? ». L’article ci-dessous est issu de ce travail qui a été très apprécié par le jury dont faisait partie Arnaud Belleil de Cecurity.com.

Source : Cecurity.com

Vidéos sur la biométrie

Quelques exemple de vidéo qui parlent de biométrie

Un conte biométrique

Réalisation : Nicolas Jacquet - Production : Cité des sciences et de l'industrie - Durée : 9 min 40 s - Année de production : 2005

Dans une cité super moderne, le petit chaperon rouge habite tout en haut d'un immeuble, un joli petit appartement high-tech. Elle vaque à ses occupations de jeune fille moderne. Au dehors, du haut d'un immeuble voisin, un loup l'observe à l'aide d'une longue vue. À travers une course poursuite entre le petit chaperon rouge et le loup, le film aborde avec efficacité et humour, le thème de l'usurpation d'identité et les différents usages de la biométrie en montrant les avantages et les inconvénients de cette technologie dans la vie de tous les jours.

 

Biométrie - Le corps identité

Réalisation : Yves Pezet - Durée : 9 min 58 s - Année de production : 2005

Film promenade dans le parc de la Villette, en compagnie d’Olivier Fidalgo et d’Éric Lawrin. Un dialogue entre les deux personnages résume les différents aspects de la biométrie en posant les questions éthiques et les avantages et inconvénients que posent l’utilisation de plus en plus répandue de cette technologie.

Introduction à la biométrie

Le contexte

La croissance internationale des communications, tant en volume qu'en diversité (déplacement physique, transaction financière, accès aux services...), implique le besoin de s'assurer de l'identité des individus. L'importance des enjeux, motive les fraudeurs à mettre en échec les systèmes de sécurité existants.

La lutte contre les fraudes bancaires continue et les constructeurs de distributeurs automatiques s'engagent sur la voie des nouvelles technologies comme la biométrie ou les technologies sans contact. Or la commercialisation de ces nouvelles technologies tarde à être lancée car l'opinion publique semble plutôt réticente. Cette fraude a coûté à la France 241,6 millions d'euros en 2004. Les taux de fraude sur les transactions internationales sont beaucoup plus élevés que ceux sur les transactions nationales. Les voleurs s'appuient sur les différences de normes entre les pays.

Se protéger contre la fraude et l'usurpation d'identité, tel est l'objectif affiché des entreprises sujettes à des pertes de données confidentielles. Il devient alors nécessaire d'employer des mesures de sécurité efficaces en passant par la biométrie.

Face à la sophistication croissante des techniques de piratage des systèmes d'informations et sites Web visant à subtiliser des données, l'European Network and Information Security Agency invite les consommateurs à davantage de prudence et de précautions pour éviter les fraudes et la perte de données personnelles ou confidentielles. De même que les fraudes préoccupent de plus en plus d'entreprises. Selon la dernière enquête du Ponemon Institute, les entreprises françaises ont subi des pertes financières moyennes estimées à 1,9 millions d'euros en 2010. Autre conséquence et non des moindres, la perte de la confiance des clients qui, pour la plupart, rompent leurs contrats avec l'entreprise touchée par une faille de sécurité. L'entreprise victime d'une fuite d'informations confidentielles voit ainsi son image se dégrader très rapidement.

fbi-carding 2012-06Autre exemple : le « Carding ». Il s'agit d'utilisation de cartes de crédit volées ou perdues, de documents d'identité contrefaits et de logiciels de hacking élaborés. En juin 2012 le FBI découvre un réseau de cyber criminels impliqués dans l'achat et la vente de cartes de crédit volées assorties de documents d'identité contrefaits. Les pertes sont estimés à plus de 250 000 dollars et le nombre de victimes à plus de 400 000 titulaires de cartes bancaires.

Il y a donc un intérêt grandissant pour les systèmes d'identification et d'authentification. Leur dénominateur commun, est le besoin d'un moyen simple, pratique, fiable, pour vérifier l'identité d'une personne, sans l'assistance d'une autre personne. Le marché du contrôle d'accès s'est ouvert avec la prolifération de systèmes, mais aucun ne se révèle efficace contre la fraude, car tous utilisent un identifiant externe tel que : badge/carte, clé, code...

Il est fréquent d'oublier le code d'accès. Pour éviter cet oubli, beaucoup de personnes écrivent ce code sur un carnet, perdant ainsi toute confidentialité. Les moyens biométriques, permettent une authentification sûre, ce qui n'est pas le cas avec les mots de passe ou les cartes (badges). Ces derniers peuvent être utilisés par des tiers non autorisés.

Le niveau de sécurité d'un système est toujours celui du maillon le plus faible. Ce maillon faible, c'est bien souvent l'être humain : mot de passe aisément déchiffrable ou noté à coté de l'ordinateur. Dans la plupart des entreprises, on exige que les mots de passe soient modifiés régulièrement et comportent au moins 8 caractères, mélangeant lettres majuscules, minuscules et chiffres. L'objectif est d'échapper aux logiciels de décodage qui peuvent en peu de temps, balayer tous les mots du dictionnaire. Une protection qui peut s'avérer insuffisante pour l'accès à des applications sensibles.

Le défaut commun à tous les systèmes d'authentification est que l'on identifie un objet (ordinateur, carte, code...) et non la personne elle-même. Il est pourtant plus acceptable d'authentifier une personne, plutôt qu'une machine.

Les technologies biométriques de reconnaissance apportent la simplicité et le confort aux utilisateurs et un niveau de sécurité jamais atteint, tout en étant superposables avec les systèmes classiques existants. Elles procurent une ergonomie non négligeable dans leur utilisation et sont une brique dans tout système de sécurité actuel et futur. Cette technologie est applicable à un large champ d’applications (contrôle d’accès, gestion horaire, paiement sécurisé sur Internet, login sur ordinateur, etc).

L'authentification n'est donc pas une fonction de sécurité à négliger, bien au contraire. Elle occupe une place centrale dans la sécurité des réseaux d'aujourd'hui.

Il existe deux types d’accès.

  • L’accès physique qui désigne tout ce qui est physiquement accessible comme un bâtiment, une salle de laboratoire, un bureau...
  • L'accès logique qui désigne tout ce qui est virtuellement accessible comme un site internet, un fichier informatique, une application informatique... 2

Les mots de passe

bio-humourRSA Security publie en septembre 2005 une enquête sur les problèmes rencontrés par l'employé dans la gestion de ses mots de passe ainsi que des risques potentiels pour la sécurité de l'entreprise.J'ai oublié mon mot de passe.

L'étude réalisée aux Etats-Unis dans 1700 entreprises technologiques montre que plus du quart des personnes interrogées doivent gérer plus de 13 mots de passe. Neuf personnes sur dix s'estiment agacées par la gestion de cette quantité de mots de passe.

Et c'est cette frustration qui peut donner naissance à des comportements dangereux pour la sécurité.

Les entreprises, pour respecter les normes de sécurité, ont été obligées de renforcer l'usage des mots de passe, devenant bientôt un fardeau pour l'utilisateur final. Le mot de passe doit être modifié de plus en plus fréquemment et les caractéristiques auxquelles il doit répondre sont de plus en plus complexes - alliant majuscule, minuscule, chiffre, ponctuation...

60 % des employés interrogés gèrent plus de 6 mots de passe différents. La plupart d'entre eux (88 %) parle de frustration liée à la quantité de codes à retenir.

Les comportements à risque développés par les employés sont nombreux. Certains conservent leurs mots de passe sur un document word dans leur PC. D'autres les notent sur leur PDA ou encore pire sur des feuilles de papier. Le mieux est ennemi du bien...

Selon une étude réalisée par une université anglaise, 91% des mots de passe utilisés par des internautes sont "connus c’est-à-dire issus de l’environnement familier de la personne et jugés non viables par des spécialistes du cryptage.

  • 21 % utilisent leur prénom ou celui d’un membre de la famille
  • 15 % leur date de naissance ou d’anniversaire
  • 15 % les noms de leurs animaux
  • 14 % le prénom d’un membre de leur famille
  • 7 % ont un lien avec une date clé
  • 2 % utilisent " password "
  • 30 % des personnes partagent leur mot de passe avec leur partenaire
  • 50 % seulement affirment être les seuls à connaître leur mot de passe

L'usager craint-il la biométrie ?

  • Il y a encore quelques années la réponse était "oui". L'usager potentiel associait la biométrie à police et à fichage étatique.
  • Dans un fichier caractérisant un élément biometrique nous concernant, il n'y a pas d'information sur notre vie privée.
  • C'est le fichier d'information sur notre personne qui est à mettre en cause, et là, même sans même sans biométrie ce fichier peut exister.
  • Aujourd'hui, on se rend bien compte que c'est justement le moyen le plus efficace pour protéger notre bien, qu'il soit matériel ou sous la forme de données informatiques.

Des freins psychologiques existent encore un peu pour l'empreinte digitale, probablement dus à la connotation policière de cette technique. Un utilisateur acceptera assez facilement de se faire reconnaître par son empreinte digitale pour accéder à ses outils personnels comme son PC ou son téléphone, mais il sera réticent à faire le même geste pour accéder à son entreprise.

Pourtant, d’après un sondage réalisé en mai 2005 par IPSOS, les Français approuvent à 75 % la constitution d’un fichier national des empreintes digitales pour lutter contre la fraude et sont 69 % à estimer même que la future carte d’identité biométrique devrait être obligatoire alors que la carte d’identité actuelle n’est que facultative.

L’acceptabilité, par les usagers, d’un système d’identification sera d’autant plus grande que ceux qui doivent l’utiliser sont persuadés qu’il y a quelque chose à protéger, que son utilisation ne présente pas de danger pour la santé et que cela ne permettra pas la collecte d’informations personnelles utilisables à d’autres fins.

La biométrie est-elle concurrente à la carte à puce ?

  • Pas du tout, ces 2 technologies seront souvent associées.
  • Les cartes à puce sont des produits de plus en plus fiable pour sécuriser des informations.
  • L'association de la biométrie et de la carte à puce permet d'être certain que l'on est bien le possesseur autorisé de cette carte et des informations qu'elle contient.
  • Dans un premier temps, on utilise la mémoire de la carte à puce pour enregistrer son empreinte (pas de base de données).
  • Dans le futur, les capteurs d'empreintes et une partie du logiciel de comparaison seront également sur la carte.

Haut de page

Conclusion

On peut constater que la biométrie est une véritable alternative aux mots de passe et autres identifiants. Elle permet de vérifier que l’usager est bien la personne qu’il prétend être. Cette technologie est en pleine croissance et tend à s’associer à d’autres technologies comme la carte à puce

La fabrication des produits d’authentification est en pleine augmentation, dû en l’occurrence à la nécessité croissante du besoin de sécurité de chacun (tant dans le domaine privé que dans le domaine professionnel ou public).

Le coût prohibitif de ces technologies a longtemps freiné leur développement. Aujourd’hui, les organisations (publiques et privées) entrevoient les économies qu’elles réaliseraient à long terme en les utilisant (ex : temps perdu par les services informatiques pour retrouver les mots de passe oubliés).

Pour qu’un système d’authentification soit robuste et paré à toute épreuve l’on peut penser qu’il serait préférable d’associer simultanément plusieurs méthodes d’authentification biométrique en les combinant.

Dans le passé, le traitement automatique (informatisé) de la reconnaissance d'empreintes digitales nécessitait l'utilisation d'importants moyens matériels de traitement. Le coût d'élaboration d'un tel système en cantonnait l'usage à des applications spécifiques et à des organismes très motivés qui y mettaient les moyens (judiciaire, fichier national d'identité, contrôle d'accès haute sécurité).

A présent, les composants possèdent la puissance nécessaire à un traitement de ce type et leur coût ne cesse de décroître.

Les limites de la biométrie

La biométrie présente malheureusement un inconvénient majeur; en effet aucune des mesures utilisées ne se révèle être totalement exacte car il s'agit bien là d'une des caractéristiques majeures de tout organisme vivant : on s'adapte à l'environnement, on vieillit, on subit des traumatismes plus ou moins importants, bref on évolue et les mesures changent.

Les fabricants ne recherchent pas uniquement la sécurité absolue, ils veulent quelque chose qui fonctionne dans la pratique. Ils cherchent donc à diminuer le taux de faux rejets (False Rejection Rate, FRR), tout en maintenant un taux relativement bas de fausses acceptations (False Acceptation Rate, FAR). Un système fonctionnel aura un FRR le plus bas possible. D'autre part, une FA est le fait d'accepter une personne non autorisée. Cela peut arriver si la personne a falsifié la donnée biométrique ou si la mesure la confond avec une autre personne. Un système sûr aura un FAR le plus bas possible.

Dans la vie courante, les industriels cherchent principalement à avoir un compromis entre ces 2 taux, FRR et FAR.

De manière générale, les faiblesses de ces systèmes ne se situent pas au niveau de la particularité physique sur laquelle ils reposent, mais bien sur la façon avec laquelle ils la mesurent, et la marge d'erreur qu'ils autorisent.

Haut de page

Qu'est ce que la Biométrie ?

3 possibilités pour prouver son identité

  1. Ce que l'on possède (carte, badge, document) ;
  2. Ce que l'on sait (un nom, un mot de passe) ;
  3. Ce que l'on est (empreintes digitales, main, visage...) - Il s'agit de la biométrie.

Les 2 premiers moyens d'identification peuvent être utilisés pour usurper l'identité d'un tiers.

La biométrie permet l'identification ou l’authentification d'une personne sur la base de données reconnaissables et vérifiables qui lui sont propres.

3 catégories de technologies biométriques

  1. Analyses biologiques : Odeur, sang, salive, urine, ADN…
  2. Analyses comportementales : La dynamique de la signature (la vitesse de déplacement du stylo, les accélérations, la pression exercée, l'inclinaison), la façon d'utiliser un clavier d'ordinateur (la pression exercée, la vitesse de frappe), la voix, la manière de marcher (démarche)...
  3. Analyses morphologiques : empreintes digitales, forme de la main, traits du visage, dessin du réseau veineux de l'œil…. Ces éléments ont l'avantage d'être stables dans la vie d'un individu et ne subissent pas autant les effets du stress par exemple, que l'on retrouve dans l'identification comportementale.

2 modes de fonctionnement

  1. Authentification (1:1): dans ce mode, on pose la question : « suis-je bien M. X ? ». Techniquement, le dispositif vérifie par rapport à un code (identifiant) saisi sur un clavier, ou lu par le passage d’un badge (carte à puce, magnétique, proximité, etc) que l’échantillon biométrique fourni correspond bien au gabarit désigné par l’identifiant.
  2. Identification (1:N): pour ce mode, on pose la simple question : « qui suis-je ? ». A partir de l’échantillon biométrique fourni, le dispositif recherche le gabarit correspondant dans sa base de données.

Les caractéristiques collectées doivent être

  • universelles (exister chez tous les individus),
  • uniques (permettre de différencier un individu par rapport à un autre),
  • permanentes (autoriser l'évolution dans le temps),
  • enregistrables (collecter les caractéristiques d'un individu avec l'accord de celui-ci),
  • mesurables (autoriser une comparaison future).
  • et si possible infalsifiables…

Pourquoi utiliser la biométrie ?

La biométrique est un domaine émergeant où la technologie améliore notre capacité à identifier une personne. La protection des consommateurs contre la fraude ou le vol est un des buts de la biométrie. L'avantage de l'identification biométrique est que chaque individu a ses propres caractéristiques physiques qui ne peuvent être changées, perdues ou volées. La méthode d'identification biométrique peut aussi être utilisée en complément ou remplacement de mots de passe.

Plusieurs raisons peuvent motiver l'usage de la biométrie

  • Une haute sécurité - En l'associant à d'autres technologies comme le cryptage, la carte à puce...
  • Confort - En remplaçant juste le mot de passe, exemple pour l'ouverture d'un système d'exploitation, la biométrie permet de respecter les règles de base de la sécurité (ne pas inscrire son mot de passe à coté du PC, ne pas désactiver l'écran de veille pour éviter des saisies de mots de passe fréquentes). Et quand ces règles sont respectées, la biométrie évite aux administrateurs de réseaux d'avoir à répondre aux nombreux appels pour perte de mot de passe (que l'on donne parfois au téléphone, donc sans sécurité).
  • Sécurité / Psychologie - Dans certains cas, particulièrement pour le commerce électronique, l'usager n'a pas confiance. Il est important pour les acteurs de ce marché de convaincre le consommateur de faire des transactions. Un moyen d'authentification connu comme les empreintes digitales pourrait faire changer le comportement des consommateurs.

Les systèmes biométriques suppriment les risques

Copie Vol Oubli Perte
Clé X X X X
Badge - X X X
Code X - X -
Biométrie - - - -

Législation de la biométrie

Législation

A l'ère de la concurrence mondialisée, l'immigration, notamment du Sud vers le Nord, est de plus en plus importante.

Elle trouve un fondement juridique dans l'article treize de la Déclaration universelle des droits de l'homme, qui garantit la liberté d'aller et de venir, dans l'article douze du Pacte international des droits civils, dans le protocole numéro quatre de la Convention européenne de sauvegarde des droits de l'homme.

Mais la plupart des Etats, pour des raisons économiques et culturelles en relation avec la sécurité, écartent le droit général à l'immigration.

Depuis le début du vingt-et-unième siècle, les restrictions se sont élargies. Les Etats souhaitent mieux connaître et identifier les migrants. Pour ce faire, il est de plus en plus souvent fait appel aux techniques biométriques et notamment la reconnaissance faciale, les empreintes digitales et l'iris.

Est-il possible de parvenir à un équilibre entre la liberté de circuler et le droit de contrôle de chaque Etat sur les migrants par la biométrie ? Tel est l'objet de l'article de Claudine Guerrier Enseignant-chercheur à l'Institut national des télécommunications.

Les systèmes biométriques ont deux fonctions principales

  1. Mesurer certains paramètres physiques propres à chaque individu (recueil de données)
  2. Les comparer à d’autres données contenues dans une base de données d’éléments morphologiques de référence.

Ces systèmes permettent donc un traitement d’informations nominatives, d’où la nécessité de protéger ces données personnelles.

La polémique sur les cartes d'identité et les passeports de nouvelle génération fait oublier que la biométrie est en voie d'investir l'entreprise. La biométrie apporte une solution aux besoins de contrôle des accès, du temps de travail, aussi bien que de la gestion des ressources humaines. De fait, il reste pour les responsables à prendre la mesure exacte des obligations légales qui pèsent sur un procédé sensible, objet d'une vigilance toute particulière de la CNIL (Commission nationale informatique et libertés), ainsi que des tribunaux.

Les systèmes biométriques permettent un traitement d'informations nominatives ; leur mise en oeuvre est soumise, en France, à la loi n°78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés. Cette mise en oeuvre sur le territoire français est soumise à l'autorisation de la commission nationale de l'informatique et des libertés (CNIL), ce qui garantit au public qu'il n'y a pas atteinte à la vie privée, ou aux libertés individuelles ou publiques.

Depuis la réforme législative du 6 août 2004, toute entreprise publique ou privée doit obtenir préalablement à l'installation d'un système biométrique l'autorisation de la CNIL. Auparavant, la commission ne pouvait s'y opposer dès lors que la déclaration du traitement était intervenue dans les formes. Pour autant, celle-ci a établi depuis une dizaine d'années des lignes directrices au fil de ses délibérations et avis qui, sans prohiber la biométrie en tant que telle, rendent la marge de manoeuvre de l'entreprise particulièrement étroite.

La mise en oeuvre d'un procédé biométrique passe nécessairement et préalablement par l'information du comité d'entreprise ou, à défaut, des délégués du personnel et des personnes concernées. Cette information comprend notamment l'indication de son caractère obligatoire ou facultatif, les destinataires des informations et les modalités d'exercice des droits prévus par la loi informatique et libertés.

En ce qui concerne les caractéristiques des systèmes, la CNIL privilégie le stockage des données sur un support individualisé. Par exemple, lorsque le gabarit d'une empreinte digitale est stocké sur une carte individuelle. Le recours à une base de données centralisée suscite de réelles réticences. La commission a émis des avis défavorables à la mise en oeuvre de ce type de traitement. On part ainsi du principe que la centralisation des données biométriques présente des risques de détournement.

La centralisation n'est pas totalement interdite, pourvu qu'elle réponde à un impératif de sécurité ou quand le procédé peut être considéré comme « sans traces ». Tel n'est pas le cas des empreintes digitales susceptibles d'être utilisées à des fins étrangères à la finalité recherchée par le responsable du traitement. C'est ainsi que la CNIL tend, sinon à s'opposer aux systèmes biométriques reposant sur la technologie des empreintes digitales, du moins à les entourer de garanties. Afin de favoriser l'usage de procédés « sans traces », la commission vient d'autoriser plusieurs dispositifs reposant sur l'utilisation de la reconnaissance du contour de la main pour des usages variés, parmi lesquels le contrôle des horaires de travail.

Informer les salariés

La CNIL considère que l'objectif d'une meilleure gestion du temps de travail, aussi légitime soit-il, ne paraît pas de nature à justifier le recours à la biométrie.

Le tribunal de grande instance de Paris a rendu un premier jugement en la matière le 14 avril 2005 à l'occasion de l'installation d'un système biométrique de contrôle des temps de travail par reconnaissance des empreintes digitales. Le tribunal s'assure que l'ensemble des mesures préalables ont été respectées : consultation du comité d'entreprise, information des salariés et démarches auprès de la CNIL. Relevant que l'utilisation d'une empreinte digitale « met en cause le corps humain et porte ainsi atteinte aux libertés individuelles », les juges font application du principe de proportionnalité et rejettent le système au motif principal que la société ne démontre pas en quoi sa mise en place s'avère nécessaire au contrôle des horaires des salariés. Il appartient donc à l'entreprise de démontrer cette nécessité, auquel cas il n'est pas exclu que le système puisse être jugé adapté et proportionné au but recherché.

Ce jugement, sans poser d'interdiction de principe, ne contribue pas à lever toutes les hésitations et rend souhaitable une clarification rapide de la marche à suivre pour qui souhaite introduire ou utiliser la biométrie en entreprise.

La C.N.I.L.

L'autorisation de la CNIL est obligatoire

voir l'article sur la CNIL

Législation de la biométrie en France

Quelques prérequis

L’exigence de proportionnalité au regard de la finalité

  • Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (...) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. Article 6 de la loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

L’exigence de proportionnalité du code du travail

  • « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ». Article L.120-2 du code du travail.

Exigence de sécurité et de confidentialité

  • « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Article 34 de la loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
  • Le droit applicable à la biométrie est en pleine évolution, mais il est animé par des tendances contradictoires. Dans ce contexte, les principes de la Privacy by Design peuvent améliorer la sécurité juridique de tous les acteurs et renforcer l'effectivité de la norme.

 

La loi Informatique et libertés

L'autorisation de la CNIL est obligatoire – Pour le moment

  • Les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et sont soumis à l’autorisation préalable de la CNIL (article 25).
    Section 2 : Autorisation - Article 25 Modifié par la loi n°2004-801 du 6 août 2004 - Modifié par la loi n°2016-1321 du 7 octobre 2016 I. - Sont mis en œuvre après autorisation de la CNIL 8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

Code du travail

  • La mise en œuvre d'un procédé biométrique passe nécessairement et préalablement par l'information du comité d'entreprise ou, à défaut, des délégués du personnel et des personnes concernées. (articles L 120-2 et 121-8)

 

La C.N.I.L.

Évolution des positions de la CNIL dans le temps

cnil

  • Phase 1 - C’est nouveau, inconnu, compétences à acquérir pour comprendre et décider, Première réaction négative.
  • Phase 2 - Acquisition des compétences avec la monté des demandes d’autorisation. Traitement au cas par cas.
  • Phase 3 - Mise en place des « Autorisation Uniques » pour pouvoir traiter plus rapidement les demandes, Règles plus contraignantes pour les modalités dites à traces comme les empreintes digitales.
  • Phase 4 - Plus de règles et d’harmonisation en Europe (RGPD). La technologie permet de capturer toutes les modalités sans le consentement de l’usager (fin des traces / sans traces) – Priorité à la sécurité et à la maitrise des données utilisateur.
  • L’avenir ? - Les données dans le cloud, les objets connectés...

La doctrine de la CNIL

  • A la différence d’un badge ou d’un mot de passe, il n’est pas possible de se défaire d’une caractéristique biométrique ou de la modifier. Le mauvais usage ou le détournement d’une telle donnée peut alors avoir des conséquences graves pour les droits et libertés des personnes.
  • L’effacement des frontières entre biométrie « à trace » et « sans trace » ces dernières années a conduit la CNIL à revoir sa doctrine.
  • Aujourd’hui, toutes les caractéristiques biométriques laissent des traces et peuvent présenter des risques élevés pour les personnes concernées.
  • Le recours à un traitement biométrique doit être justifié Le contrôle d’accès biométrique ne doit pas devenir courant et se substituer à d’autres dispositifs standards moins intrusifs pour les personnes (badge, clé, gardiennage, etc.), sans véritable justification.
  • Les dispositifs garantissant la maîtrise des personnes sur leur gabarit doivent être privilégiés. La personne concernée peut se voir confier un support de stockage de son gabarit de référence, afin de réduire les risques de détournement et l’impact d’une usurpation, si le support est subtilisé. En cas de perte ou de vol du support individuel, seule la donnée concernée est compromise et non tous les gabarits des salariés soumis au contrôle d’accès.
  • Si la détention d’un support dédié au seul stockage du gabarit n’est pas adaptée, le gabarit peut être conservé dans les serveurs de la société sous une forme le rendant inexploitable, en l’absence d’intervention de la personne concernée. En pratique cela signifie que le gabarit est protégé par un secret ou un élément que la personne concernée est seule à détenir et qu’elle peut utiliser lors de son authentification.

L'autorisation de la CNIL est obligatoire - Pour le moment

(La biométrie sur le site internet de la CNIL)

L'utilisation d'un dispositif biométrique est soumis à autorisation préalable,sauf pour l’état qui se contente de demander un avis publié mais non contraignant. Tout organisme qui souhaite installer un dispositif biométrique doit adresser par courrier à la CNIL une demande d'autorisation (remplir le formulaire de déclaration accompagné des annexes nécessaires et de tout élément justifiant la mise en place d'un dispositif biométrique).

Aux termes de la loi informatique et libertés de 2004, la CNIL dispose d'un pouvoir d'autorisation expresse des dispositifs biométriques.

C'est en 1997 que la CNIL a examiné son premier dispositif biométrique avec enregistrement des empreintes digitales dans une base de données. Depuis, le nombre de demandes d'autorisation pour de tels systèmes ne cesse de croître. Sur 602 traitements biométriques examinés par la Commission en 2007, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données : 21 ont été refusés, 32 autorisés (les 549 autres traitements concernaient essentiellement des systèmes de reconnaissance du contour de la main).

En 2009, la Cnil a avalisé 800 demandes d'installation de tels systèmes, contre moins de 700 en 2008. Plébiscitées pour assurer les contrôles d'accès aux tarmacs des aéroports ou aux laboratoires de produits dangereux, ces techniques se justifient toutefois beaucoup moins lorsqu'il s'agit simplement de remplacer la célèbre pointeuse.

En 2015 – Plus de 5 000 engagements de conformités à une autorisation unique.

L'analyse de la Commission repose sur le constat que ces dispositifs ne sont justifiés que s'ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes : la finalité du dispositif, la proportionnalité, la sécurité, l'information des personnes concernées.

Les personnes doivent toujours être individuellement informées des modalités de mis en œuvre de ces dispositifs. Le responsable de traitement de données biométriques doit permettre aux personnes concernées par des informations qu'il détient d'exercer pleinement leurs droits. Cette information se fait lors de la mise en place du dispositif.

Le non-accomplissement des formalités auprès de la CNIL est passible de 5 ans d'emprisonnement et 300.000 € d'amende. La CNIL peut mettre en demeure une société ayant mis en œuvre un dispositif de contrôle d'accès sans son autorisation préalable.

Aucun produit biométrique ne possède un « Label CNIL » ou un « Agrément CNIL »

Un document (ancien) de la CNIL : « Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreintes digitales avec stockage dans une base de données ».

Afin de simplifier la procédure, la Commission a allégé les formalités pour certains dispositifs, en définissant un cadre de référence : l’autorisation unique. Quand un organisme met en œuvre un dispositif biométrique qui répond aux exigences définies par une autorisation unique, il peut effectuer une déclaration simplifiée, qui l'engage au respect des conditions définies dans ce texte.

La CNIL peut, à tout moment, effectuer un contrôle sur place pour vérifier la réalité de cet engagement.

 

Comment procéder pour se mettre en conformité ?

Le 30 juin 2016, la CNIL a adopté deux nouvelles autorisations uniques (AU-052 et AU-053) qui remplacent le cadre existant et encadrent l’ensemble des dispositifs biométriques, quel que soit le type de biométrie utilisé.

Ce cadre distingue

  • Les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (AU-052).
  • Les dispositifs biométriques ne garantissant pas cette maîtrise (AU-053).

Ces autorisations uniques intègrent les principes issus du « Règlement européen sur la protection des données personnelles ».

1 - Vérifier que le traitement de données biométriques est nécessaire

  • si un système de badge est suffisant, la réponse est NON.
  • si cela ne répond qu’à un besoin de confort, la réponse est NON.
  • si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles, la réponse est NON.
  • Réponse : NON => Le traitement de données biométriques n’est pas nécessaire, une solution moins intrusive doit être privilégiée.
  • Réponse : OUI => passer à l’étape suivante. (AU-052)

2 - Garantir la maîtrise du gabarit par la personne concernée

  • Le responsable du dispositif biométrique devra privilégier le stockage des gabarits sur supports individuels.
  • S’il n’est pas possible de recourir au support individuel, il devra associer au gabarit stocké en base un secret qui serait confié à la personne concernée et sans lequel le gabarit est illisible.

Les responsables de traitements de contrôle d’accès biométrique passant avec succès ces 2 étapes peuvent se conformer à l’AU-052.

S’il est impossible, compte-tenu du contexte de mettre en place un des systèmes prévus à cette étape, passer à l'étape suivante.

3 - La maîtrise du gabarit par les personnes concernées n'est pas garantie.

Le responsable du traitement souhaitant garder la main sur les gabarits biométriques en les conservant dans ses serveurs :

  • Doit justifier qu'il ne peut pas faire autrement, au regard du contexte de mise en place du dispositif et de son besoin.
  • Doit remplir la grille d’analyse et vérifier le respect des mesures qui y figurent.

Si ces critères sont remplis, il peut effectuer un engagement de conformité à l’AU-053.

 

Les principaux principes de la CNIL

  1. Finalité :

    déterminée, pertinente et légitime correspondant aux missions de l’organisme. Tout détournement de finalité est passible de sanctions pénales (art. 226.21 c. pénal). L'avancée de la biométrie multiplie les fichiers dangereux et les possibilités de les constituer avec des traces corporelles.
  2. Pertinence :

    Les données doivent être adéquates, pertinentes et non excessives par rapport à la finalité du traitement.
  3. Droit à l'oubli :

    une durée de conservation limitée en adéquation avec la finalité poursuivie par le traitement.
  4. Communication :

    se limite à des destinataires légitimes, dont l'activité justifie cet accès. Cette disposition ne doit pas être confondue avec celle des "tiers autorisés", dont la police qui garde un droit d'accès à toutes les données de façon ponctuelle et motivée.
  5. Sécurité :

    obligation de moyen portant sur la sécurité des locaux et des réseaux informatiques.
  6. Droits des personnes :

    • droit à l'information sur la collecte, les finalités et les destinataires des données
    • droit d'accès et de rectification
    • droit d'opposition pour motifs légitimes : automatique en matière commerciale mais pas vis-à-vis des services de l'Etat.

 

Historiques des premières décisions de la CNIL

Exemples d'avis favorables prononcés par la C.N.I.L.

  • Expérimentation de vote électronique par carte à puce comportant le gabarit de l’empreinte digitale de son titulaire (14-03-2002).
  • Contrôle d’accès et horaire par le contour de la main du personnel de nettoyage du musée du Louvre (25-01-2001).
  • Contrôle horaire par le contour de la main du personnel de nettoyage centre commercial à La Défense.
  • Contrôle d’accès avec base de données d’empreintes digitales à des zones hautement sécurisées de la Banque de France (10-06-1997).
  • Contrôle d’accès avec base de données d’empreintes digitales à des bâtiments de stockage de plutonium de la COGEMA à La Hague (17-11-2000).
  • Contrôle d’accès avec base de données d’empreintes digitales à des zones de fabrication de cartes à puce chez SAGEM (25-04-2002).
  • Contrôle d’accès par reconnaissance du contour de la main à une cantine scolaire du Collège Joliot-Curie situé à Carqueiranne (15-10-2002).

Exemples d'avis défavorables prononcés par la C.N.I.L.

  • Contrôle d’accès par l’empreinte digitale à la cantine du collège Jean Rostand de Nice (21-03-2000).
  • Contrôle d’accès par l’empreinte digitale à tous les locaux de la cité académique de Lille (16-11-2000).
  • Contrôle du temps de travail par l’empreinte digitale dans la préfecture de l’Hérault (16-11-2000).
  • Contrôle du temps de travail par l’empreinte digitale dans une compagnie aérienne.
  • Contrôle du temps de travail par l’empreinte digitale dans une mairie (23-04-2002).

 

Jurisprudence

  • Par jugement du 19 avril 2005, le Tribunal de Grande Instance de Paris interdit à une société de Services la mise en place d’un système de contrôle du temps de travail de ses salariés utilisant leurs empreintes digitales (Liaisons sociales, Bref social n°14356 du 22 avril 2005 )

    Précisant que « l’empreinte digitale, même partielle, constitue une donnée biométrique morphologique qui permet d’identifier les traits physiques spécifiques qui sont uniques et permanents pour chaque individu », le Président Bernard Valette a jugé que « son utilisation, qui met en cause le corps humain et porte ainsi atteinte aux libertés individuelles, peut cependant se justifier lorsqu’elle a une finalité sécuritaire ou protectrice de l’activité exercée dans des locaux identifiés ». Cependant, le magistrat relève qu’en l’espèce, « l’objectif poursuivi (à savoir le contrôle des horaires de travail) n’est pas de nature à justifier la constitution d’une base de données d’empreintes digitales des personnels […], le traitement pris dans son ensemble n’apparaissant ni adapté ni proportionné au but recherché ».

Au-delà d’une application pertinente du nouveau texte de la loi informatique et libertés du 6 août 2004, cette décision confirme la position de la Commission Nationale Informatique et Libertés qui avait, dans sa délibération n°04-018 du 8 avril 2004, émis un avis défavorable à la mise en œuvre d’un dispositif de reconnaissance de l’empreinte digitale ayant pour finalité la gestion du temps de travail des salariés. Saisie par un Centre Hospitalier d’une demande relative à l’utilisation de la biométrie afin de renforcer l’identification des agents hospitaliers au moment des pointages, la Commission avait considéré que « seul un impératif particulier de sécurité » était susceptible de justifier le recours à une telle technologie.

 

 

   

Faire un don  

Biometrie-Online.Net a besoin de votre aide pour continuer à vous informer sur la biométrie.

Merci d'avance pour votre participation.

Vous pouvez faire un don par CB, via Paypal.

   
   

Les prochains évènements biométriques

Expositions, conférences et autres évènements consacrés à la biométrie et à ses applications.

Biometrie-Online.Net est partenaire média des évènements ci-dessous.


   

Embedded security news

La carte est un élément souvent associée à la biométrie, comme simple support d'enregistrement ou comme comme système complet assurant la capture, le traitement, et la prise de décision.
Le site web d'Antonio D'Albore (Embedded Security News), spécialiste italien des cartes à puce, est un complément d'information pertinent concernant la biométrie associée aux cartes.

Embedded Security News

   

 

   
feed-image Flux RSS
© Copyright © 2018 - Didier Guillerm - Tous droits réservés

En naviguant sur notre site, vous acceptez que des cookies soient utilisés pour vous proposer des contenus et des services adaptés.