Législation de la biométrie

La C.N.I.L.

L'autorisation de la CNIL est obligatoire

(La biométrie sur le site internet de la CNIL)

L'utilisation d'un dispositif biométrique est soumis à autorisation préalable,sauf pour l'Etat qui se contente de demander un avis publié mais non contraignant. Tout organisme qui souhaite installer un dispositif biométrique doit adresser par courrier à la CNIL une demande d'autorisation (remplir le formulaire de déclaration accompagné des annexes nécessaires et de tout élément justifiant la mise en place d'un dispositif biométrique).

Aux termes de la loi informatique et libertés de 2004, la CNIL dispose d'un pouvoir d'autorisation expresse des dispositifs biométriques. Elle a souhaité préciser, dans un guide rendu public les principaux critères sur lesquels elle se fonde pour autoriser ou refuser le recours à des dispositifs reposant sur la reconnaissance des empreintes digitales avec un stockage sur un terminal de lecture-comparaison ou sur un serveur.

C'est en 1997 que la CNIL a examiné son premier dispositif biométrique avec enregistrement des empreintes digitales dans une base de données. Depuis, le nombre de demandes d'autorisation pour de tels systèmes ne cesse de croître. Sur 602 traitements biométriques examinés par la Commission en 2007, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données : 21 ont été refusés, 32 autorisés (les 549 autres traitements concernaient essentiellement des systèmes de reconnaissance du contour de la main). Plus d'une centaine de dossiers sont toujours en cours d'instruction.

En 2009, la Cnil a avalisé 800 demandes d'installation de tels systèmes, contre moins de 700 en 2008. Plébiscitées pour assurer les contrôles d'accès aux tarmacs des aéroports ou aux laboratoires de produits dangereux, ces techniques se justifient toutefois beaucoup moins lorsqu'il s'agit simplement de remplacer la célèbre pointeuse.

L'analyse de la Commission repose sur le constat que :

l'empreinte digitale est une biométrie à « trace ». Chacun laisse des traces de ses empreintes digitales, plus ou moins facilement exploitables, dans beaucoup de circonstances de la vie courante (sur un verre ou une poignée de porte etc.) ; ces « traces » peuvent être capturées à l'insu des personnes et être utilisées notamment pour usurper leur identité.

La Commission tient à clarifier et à préciser sa position : ces dispositifs ne sont justifiés que s'ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes :

1. la finalité du dispositif : elle doit être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme tel que la protection de l'intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines informations (ex : accès à une centrale nucléaire, à une cellule de production de vaccins ou à un site Seveso II) ;
2. la proportionnalité : le système proposé est-il bien adapté à la finalité préalablement définie eu égard aux risques qu'il comporte en matière de protection des données à caractère personnel ?
3. la sécurité : le dispositif doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données ;
4. l'information des personnes concernées : elle doit être réalisée dans le respect de la loi « informatique et libertés » et, le cas échéant, du Code du travail.

Biométrie sans trace ou à trace

La Cnil considère que la technologie utilsant les réseaux veineux ne présente pas les mêmes risques que celle qui repose sur les relevés d'empreintes digitales ou la photographie du visage. Il s'agit d'une "biométrie sans trace" qui suppose de comparer l'image de l'entrelacement des vaisseaux sanguins, par hypothèse "cachés", avec le gabarit stocké. Ne pouvant être capté à distance, il échappe aux fraudes tendant à le copier en vue d'une usurpation d'identité, ce qui n'est pas le cas des empreintes digitales, qui se trouvent partout, sur un verre ou une poignée de porte, et qui peuvent donc facilement être capturées. Cette "biométrie à trace" est donc particulièrement encadrée par la Cnil. La Commission exige, lorsqu'elle autorise un tel système, que les données soient stockées sur des supports individuels (badges...) et non dans des bases centralisées.

Réseau veineux des doigts de la main

Concernant la technologie du réseau veineux de la paume ou du doigt. L'objectif est de contrôler l'accès des salariés dans l'entreprise. La Cnil, à laquelle est obligatoirement soumis ce genre d'initiative, a rappelé, dans une délibération du 7 mai 2009, que les salariés soumis à ces dispositifs devaient toujours être individuellement informés des modalités de leur mise en oeuvre. Par ailleurs, le responsable du traitement doit prendre "toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance". Compte tenu des risques limités attachés à un tel système, une procédure simplifiée d'autorisation dite "unique" consiste en une déclaration du système sur son site.

Aucun produit biométrique ne possède un « Label CNIL » ou un « Agrément CNIL »

Certains systèmes pour certaines applications bénéficient de formalités allégées (autorisations uniques)

• Les dispositifs de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire
• Les dispositifs reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail
• Les dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail.

Si le traitement est conforme à l'une des décisions cadres (autorisations uniques), établies par la CNIL une simple déclaration de conformité suffit. Cette démarche peut être réalisée en ligne sur le site de la CNIL.

D'une manière générale, la CNIL n'autorise que les dispositifs où l'empreinte digitale est enregistrée exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base centralisée.

Les personnes doivent toujours être individuellement informées des modalités de mis en œuvre de ces dispositifs. Le responsable de traitement de données biométriques doit permettre aux personnes concernées par des informations qu'il détient d'exercer pleinement leurs droits. Cette information se fait lors de la mise en place du dispositif.

Le non-accomplissement des formalités auprès de la CNIL est passible de 5 ans d'emprisonnement et 300.000 € d'amende. La CNIL peut mettre en demeure une société ayant mis en œuvre un dispositif de contrôle d'accès sans son autorisation préalable.

Un document de la CNIL : « Communication

de la CNIL relative à la mise en oeuvre de dispositifs de

reconnaissance par empreintes digitales avec stockage dans une base de

données ».

Les principaux principes de la CNIL

1. Finalité :

   déterminée, pertinente et légitime correspondant aux missions de l’organisme. Tout détournement de finalité est passible de sanctions pénales (art. 226.21 c. pénal). L'avancée de la biométrie multiplie les fichiers dangereux et les possibilités de les constituer avec des traces corporelles.

2. Pertinence :

   Les données doivent être adéquates, pertinentes et non excessives par rapport à la finalité du traitement.
3. Droit à l'oubli :
   une durée de conservation limitée en adéquation avec la finalité poursuivie par le traitement.

4. Communication :

   se limite à des destinataires légitimes, dont l'activité justifie cet accès. Cette disposition ne doit pas être confondue avec celle des "tiers autorisés", dont la police qui garde un droit d'accès à toutes les données de façon ponctuelle et motivée.

5. Sécurité :

   obligation de moyen portant sur la sécurité des locaux et des réseaux informatiques.

6. Droits des personnes :

   • droit à l'information sur la collecte, les finalités et les destinataires des données
   • droit d'accès et de rectification
   • droit d'opposition pour motifs légitimes : automatique en matière commerciale mais pas vis-à-vis des services de l'Etat.

Exemples d'avis favorables prononcés par la C.N.I.L.

• Expérimentation de vote électronique par carte à puce comportant le gabarit de l’empreinte digitale de son titulaire (14-03-2002).
• Contrôle d’accès et horaire par le contour de la main du personnel de nettoyage du musée du Louvre (25-01-2001).
• Contrôle horaire par le contour de la main du personnel de nettoyage centre commercial à La Défense.
• Contrôle d’accès avec base de données d’empreintes digitales à des zones hautement sécurisées de la Banque de France (10-06-1997).
• Contrôle d’accès avec base de données d’empreintes digitales à des bâtiments de stockage de plutonium de la COGEMA à La Hague (17-11-2000).
• Contrôle d’accès avec base de données d’empreintes digitales à des zones de fabrication de cartes à puce chez SAGEM (25-04-2002).
• Contrôle d’accès par reconnaissance du contour de la main à une cantine scolaire du Collège Joliot-Curie situé à Carqueiranne (15-10-2002).

Exemples d'avis défavorables prononcés par la C.N.I.L.

• Contrôle d’accès par l’empreinte digitale à la cantine du collège Jean Rostand de Nice (21-03-2000).
• Contrôle d’accès par l’empreinte digitale à tous les locaux de la cité académique de Lille (16-11-2000).
• Contrôle du temps de travail par l’empreinte digitale dans la préfecture de l’Hérault (16-11-2000).
• Contrôle du temps de travail par l’empreinte digitale dans une compagnie aérienne.
• Contrôle du temps de travail par l’empreinte digitale dans une mairie (23-04-2002).

Les diverses décisions déjà prises par la CNIL sur la protection des données personnelles laissent entrevoir une règle, qui peut à ce jour se résumer ainsi.

1. Les technologies de reconnaissance biométrique ne reposant pas sur le stockage des gabarits dans une base de données ne soulèvent pas de difficulté particulière en termes « informatique et libertés », dès lors que le gabarit est conservé sur soi (une carte à puce) ou sur un appareil dont on a l’usage exclusif (un téléphone portable, un ordinateur, etc.) et nulle part ailleurs.
2. En revanche, lorsqu’une base de données est constituée dans le cadre d’un dispositif d’identification biométrique, l’élément biométrique retenu peut avoir une incidence sur nos libertés et notre vie privée ; tel est le cas lorsque l’élément biométrique retenu « laisse des traces » dans notre vie quotidienne (ADN, empreinte digitale). Dans un tel cas, un impératif particulier de sécurité peut conduire à accepter la mise en œuvre de telles bases de données.
3. À défaut d’une telle justification particulière, et lorsqu’une base de données de gabarits est constituée, le choix d’un élément biométrique « ne laissant pas de trace », tel que le contour de la main, la rétine, la reconnaissance vocale, etc. devrait être préféré à la prolifération de fichiers d’ADN ou d’empreintes digitales.

Fiche pratique sur le site internet de la CNIL : Biométrie : quelle déclaration pour quel fichier ?

Jurisprudence

• Par jugement du 19 avril 2005, le Tribunal de Grande Instance de Paris interdit à une société de Services la mise en place d’un système de contrôle du temps de travail de ses salariés utilisant leurs empreintes digitales (Liaisons sociales, Bref social n°14356 du 22 avril 2005 )
  
  Précisant que « l’empreinte digitale, même partielle, constitue une donnée biométrique morphologique qui permet d’identifier les traits physiques spécifiques qui sont uniques et permanents pour chaque individu », le Président Bernard Valette a jugé que « son utilisation, qui met en cause le corps humain et porte ainsi atteinte aux libertés individuelles, peut cependant se justifier lorsqu’elle a une finalité sécuritaire ou protectrice de l’activité exercée dans des locaux identifiés ». Cependant, le magistrat relève qu’en l’espèce, « l’objectif poursuivi (à savoir le contrôle des horaires de travail) n’est pas de nature à justifier la constitution d’une base de données d’empreintes digitales des personnels […], le traitement pris dans son ensemble n’apparaissant ni adapté ni proportionné au but recherché ».

Au-delà d’une application pertinente du nouveau texte de la loi informatique et libertés du 6 août 2004, cette décision confirme la position de la Commission Nationale Informatique et Libertés qui avait, dans sa délibération n°04-018 du 8 avril 2004, émis un avis défavorable à la mise en œuvre d’un dispositif de reconnaissance de l’empreinte digitale ayant pour finalité la gestion du temps de travail des salariés. Saisie par un Centre Hospitalier d’une demande relative à l’utilisation de la biométrie afin de renforcer l’identification des agents hospitaliers au moment des pointages, la Commission avait considéré que « seul un impératif particulier de sécurité » était susceptible de justifier le recours à une telle technologie.

Les news de la CNIL

L'actualité de la CNIL concernant la biométrie

28-07-11 Biométrie comportementale : la reconnaissance de la frappe au clavier autorisée dans le cadre de démonstrations

Biometrie comportementale : la reconnaissance de la frappe au ... du 23 juin 2011, la CNIL a examine un nouveau type de biometrie reposant sur la reconnaissance de la frappe au ... de demonstration aupres de clients potentiels. La biometrie comportementale permet d'identifier un individu en ... de l'utilisateur. Contrairement a d'autres types de e l'utilisateur. Contrairement a d'autres types de...

7-11-10 Biométrie : de nouvelles technologies expertisées

Biometrie : de nouvelles technologies expertisees , , Pour la premiere fois, ... de la voix et du reseau veineux du doigt. Il s'agit de biometries jusqu'a present peu repandues et qui ont necessite un travail ... pas possible, avec les moyens actuels, de capturer et copier cette biometrie a l'insu de la personne. A l'issue d'une expertise technique, la CNIL a considere que le reseau veineux, en l'etat actuel de la technique, est une