Biométrie - Nouvelles règles de la CNIL
un nouveau cadre pour le contrôle d’accès biométrique sur les lieux de travail
La CNIL fait évoluer sa doctrine pour mieux prendre en compte les évolutions techniques et limiter les risques pour la vie privée générés par les dispositifs biométriques au travail.
Jusqu’à présent, la doctrine de la CNIL en matière de biométrie élaborée à partir de 2006 se basait sur la distinction entre des caractéristiques biométrique dites « à traces » et « sans traces ». En fonction du type de biométrie utilisé, des exigences plus ou moins fortes s’appliquaient aux dispositifs mis en œuvre.
Mais le perfectionnement des outils de captation accessibles à bas coût, permettant de collecter les images du visage, de la voix et même du réseau veineux, a conduit la CNIL a constater que désormais, toutes les biométries doivent être considérées comme laissant des traces sur le passage des personnes. La distinction « traces » / « sans traces » n’est donc plus pertinente contrairement à celle reposant sur le type de stockage (dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique ou non).
Un nouveau cadre élargi visant à limiter les risques pour la vie privée
Le 30 juin 2016, la CNIL a adopté deux autorisations uniques qui encadrent désormais l’ensemble des dispositifs de contrôle d’accès biométrique sur les lieux de travail, quels que soient les types de biométries utilisées. Elles abrogent les autorisations uniques AU-007, AU-008, AU-019, AU-027.
Elles distinguent :
- les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (AU-052)
- les dispositifs biométriques ne garantissant pas cette maîtrise (AU-053).
Anticiper l’entrée en vigueur du règlement européen sur la protection des données
Les autorisations uniques adoptées s’inscrivent dans la logique du règlement européen sur la protection des données. Elles intègrent les pré-requis de l’étude d’impact sur la vie privée et les concepts de protection des données dès la conception du produit et par défaut (« privacy by design » et « privacy by default »), auxquels les responsables de traitement devront se conformer d’ici mai 2018. La CNIL entend accompagner dès à présent les organismes dans leur mise en conformité à ces nouvelles règles.
Les obligations des organismes
-
Justifier que la biométrie est pertinente
Avant de mettre en place un contrôle d’accès, les organismes devront réfléchir à la pertinence du recours à un traitement biométrique.
Ils devront documenter leur besoin, en expliquant notamment pourquoi un dispositif alternatif moins intrusif tel qu’un contrôle par badge, mot de passe, gardiennage ou vidéosurveillance ne suffit pas et pourquoi le dispositif biométrique répond à leur besoin.
-
Privilégier les dispositifs permettant une maîtrise du gabarit par la personne concernée
Les organismes devront privilégier les dispositifs garantissant par défaut et dès leur conception, le contrôle de la personne concernée sur son gabarit. L’objectif est de limiter le risque de détournement des données biométriques. La conservation du gabarit biométrique sur un support individuel détenu par la seule personne concernée lui garantit un tel contrôle.
Si le contexte de mise en place du contrôle d’accès ne permet pas de confier des supports individuels à chaque personne concernée, une alternative consiste à stocker en base le gabarit sous une forme le rendant inutilisable sans intervention de la personne concernée, par exemple, en lui confiant un secret nécessaire pour déchiffrer son gabarit.
Ces dispositifs sont encadrés par l’autorisation unique AU-052
-
Justifier et documenter la conservation des gabarits en base
A défaut de pouvoir proposer les mécanismes protecteurs de la personne prévus par l’AU-052, les organismes pourront faire appel à des systèmes reposant sur un stockage des gabarits en base, s’ils se conforment aux exigences de l’AU-053.
La CNIL a toujours considéré que la centralisation des données biométriques dans des serveurs accroît le risque de détournement de la donnée, ainsi que la gravité des conséquences d’une potentielle défaillance du système. En effet, en cas d’attaque, ce n’est pas un gabarit mais une multitude de données biométriques, et donc de personnes, qui pourraient être impactées.
Le recours au stockage de gabarits biométriques en base ne peut être envisagé que s’il constitue la seule configuration envisageable pour répondre aux besoins spécifiques de l’organisme.
L'organisme devra également adopter des mesures permettant de limiter au maximum les risques pour la vie privée (par exemple, chiffrer les données lors de leurs transmissions, supprimer les données en cas d’accès non autorisé, former les personnes habilitées à utiliser les matériels, tracer les accès aux serveurs, etc.)
Une grille d’analyse devra être remplie par l’organisme qui souhaite se conformer à l’AU-053. Elle lui permettra de vérifier et de documenter le respect de ces mesures.
La vérification des obligations imposées par les nouvelles autorisations uniques et de la documentation associée pourra être effectuée à tout moment par la CNIL dans le cadre de contrôles.
Les autorisations uniques AU-007, AU-008, AU-019, AU-027 sont abrogées.
Les responsables de traitements qui avaient effectué un engagement de conformité à ces autorisations uniques doivent vérifier si leur traitement répond aux exigences des nouvelles autorisations uniques AU-052 ou AU-053 et réaliser dans un délai de deux ans, s’ils sont conformes, un nouvel engagement de conformité.
Autorisations uniques
Textes officiels
> Délibération n° 2016-186 du 30 juin 2016
> Délibération n° 2016-187 du 30 juin 2016
Grille d'analyse des risques
AU-053 : Grille d'analyse des risques [ PDF-462.34 Ko]
Source : CNIL