Législation de la biométrie

Législation

A l'ère de la concurrence mondialisée, l'immigration, notamment du Sud vers le Nord, est de plus en plus importante.

Elle trouve un fondement juridique dans l'article treize de la Déclaration universelle des droits de l'homme, qui garantit la liberté d'aller et de venir, dans l'article douze du Pacte international des droits civils, dans le protocole numéro quatre de la Convention européenne de sauvegarde des droits de l'homme.

Mais la plupart des Etats, pour des raisons économiques et culturelles en relation avec la sécurité, écartent le droit général à l'immigration.
Depuis le début du vingt-et-unième siècle, les restrictions se sont élargies. Les Etats souhaitent mieux connaître et identifier les migrants. Pour ce faire, il est de plus en plus souvent fait appel aux techniques biométriques et notamment la reconnaissance faciale, les empreintes digitales et l'iris.

Est-il possible de parvenir à un équilibre entre la liberté de circuler et le droit de contrôle de chaque Etat sur les migrants par la biométrie ? Tel est l'objet de l'article de Claudine Guerrier Enseignant-chercheur à l'Institut national des télécommunications.

Les systèmes biométriques ont deux fonctions principales :

1. Mesurer certains paramètres physiques propres à chaque individu (recueil de données)
2. Les comparer à d’autres données contenues dans une base de données d’éléments morphologiques de référence.

Ces systèmes permettent donc un traitement d’informations nominatives, d’où la nécessité de protéger ces données personnelles.

La polémique sur les cartes d'identité et les passeports de nouvelle génération fait oublier que la biométrie est en voie d'investir l'entreprise. La biométrie apporte une solution aux besoins de contrôle des accès, du temps de travail, aussi bien que de la gestion des ressources humaines. De fait, il reste pour les responsables à prendre la mesure exacte des obligations légales qui pèsent sur un procédé sensible, objet d'une vigilance toute particulière de la CNIL (Commission nationale informatique et libertés), ainsi que des tribunaux.

Les systèmes biométriques permettent un traitement d'informations nominatives ; leur mise en oeuvre est soumise, en France, à la loi n°78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés. Cette mise en oeuvre sur le territoire français est soumise à l'autorisation de la commission nationale de l'informatique et des libertés (CNIL), ce qui garantit au public qu'il n'y a pas atteinte à la vie privée, ou aux libertés individuelles ou publiques.

Depuis la réforme législative du 6 août 2004, toute entreprise publique ou privée doit obtenir préalablement à l'installation d'un système biométrique l'autorisation de la CNIL. Auparavant, la commission ne pouvait s'y opposer dès lors que la déclaration du traitement était intervenue dans les formes. Pour autant, celle-ci a établi depuis une dizaine d'années des lignes directrices au fil de ses délibérations et avis qui, sans prohiber la biométrie en tant que telle, rendent la marge de manoeuvre de l'entreprise particulièrement étroite.

La mise en oeuvre d'un procédé biométrique passe nécessairement et préalablement par l'information du comité d'entreprise ou, à défaut, des délégués du personnel et des personnes concernées. Cette information comprend notamment l'indication de son caractère obligatoire ou facultatif, les destinataires des informations et les modalités d'exercice des droits prévus par la loi informatique et libertés.

En ce qui concerne les caractéristiques des systèmes, la CNIL privilégie le stockage des données sur un support individualisé. Par exemple, lorsque le gabarit d'une empreinte digitale est stocké sur une carte individuelle. Le recours à une base de données centralisée suscite de réelles réticences. La commission a émis des avis défavorables à la mise en oeuvre de ce type de traitement. On part ainsi du principe que la centralisation des données biométriques présente des risques de détournement.

La centralisation n'est pas totalement interdite, pourvu qu'elle réponde à un impératif de sécurité ou quand le procédé peut être considéré comme « sans traces ». Tel n'est pas le cas des empreintes digitales susceptibles d'être utilisées à des fins étrangères à la finalité recherchée par le responsable du traitement. C'est ainsi que la CNIL tend, sinon à s'opposer aux systèmes biométriques reposant sur la technologie des empreintes digitales, du moins à les entourer de garanties. Afin de favoriser l'usage de procédés « sans traces », la commission vient d'autoriser plusieurs dispositifs reposant sur l'utilisation de la reconnaissance du contour de la main pour des usages variés, parmi lesquels le contrôle des horaires de travail.

Informer les salariés

La CNIL considère que l'objectif d'une meilleure gestion du temps de travail, aussi légitime soit-il, ne paraît pas de nature à justifier le recours à la biométrie.

Le tribunal de grande instance de Paris a rendu un premier jugement en la matière le 14 avril 2005 à l'occasion de l'installation d'un système biométrique de contrôle des temps de travail par reconnaissance des empreintes digitales. Le tribunal s'assure que l'ensemble des mesures préalables ont été respectées : consultation du comité d'entreprise, information des salariés et démarches auprès de la CNIL. Relevant que l'utilisation d'une empreinte digitale « met en cause le corps humain et porte ainsi atteinte aux libertés individuelles », les juges font application du principe de proportionnalité et rejettent le système au motif principal que la société ne démontre pas en quoi sa mise en place s'avère nécessaire au contrôle des horaires des salariés. Il appartient donc à l'entreprise de démontrer cette nécessité, auquel cas il n'est pas exclu que le système puisse être jugé adapté et proportionné au but recherché.
Ce jugement, sans poser d'interdiction de principe, ne contribue pas à lever toutes les hésitations et rend souhaitable une clarification rapide de la marche à suivre pour qui souhaite introduire ou utiliser la biométrie en entreprise.

La C.N.I.L.

L'autorisation de la CNIL est obligatoire
(lire article de la CNIL du 05/01/2007)

L'utilisation d'un dispositif biométrique est soumis à autorisation préalable,sauf pour l'Etat qui se contente de demander un avis publié mais non contraignant. Tout organisme qui souhaite installer un dispositif biométrique doit adresser par courrier à la CNIL une demande d'autorisation (remplir le formulaire de déclaration accompagné des annexes nécessaires et de tout élément justifiant la mise en place d'un dispositif biométrique).

Aux termes de la loi informatique et libertés de 2004, la CNIL dispose d'un pouvoir d'autorisation expresse des dispositifs biométriques. Elle a souhaité préciser, dans un guide rendu public les principaux critères sur lesquels elle se fonde pour autoriser ou refuser le recours à des dispositifs reposant sur la reconnaissance des empreintes digitales avec un stockage sur un terminal de lecture-comparaison ou sur un serveur.

C'est en 1997 que la CNIL a examiné son premier dispositif biométrique avec enregistrement des empreintes digitales dans une base de données. Depuis, le nombre de demandes d'autorisation pour de tels systèmes ne cesse de croître. Sur 602 traitements biométriques examinés par la Commission en 2007, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données : 21 ont été refusés, 32 autorisés (les 549 autres traitements concernaient essentiellement des systèmes de reconnaissance du contour de la main). Plus d'une centaine de dossiers sont toujours en cours d'instruction.

L'analyse de la Commission repose sur le constat que :

l'empreinte digitale est une biométrie à « trace ». Chacun laisse des traces de ses empreintes digitales, plus ou moins facilement exploitables, dans beaucoup de circonstances de la vie courante (sur un verre ou une poignée de porte etc.) ; ces « traces » peuvent être capturées à l'insu des personnes et être utilisées notamment pour usurper leur identité.

La Commission tient à clarifier et à préciser sa position : ces dispositifs ne sont justifiés que s'ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes :

1. la finalité du dispositif : elle doit être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme tel que la protection de l'intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines informations (ex : accès à une centrale nucléaire, à une cellule de production de vaccins ou à un site Seveso II) ;
2. la proportionnalité : le système proposé est-il bien adapté à la finalité préalablement définie eu égard aux risques qu'il comporte en matière de protection des données à caractère personnel ?
3. la sécurité : le dispositif doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données ;
4. l'information des personnes concernées : elle doit être réalisée dans le respect de la loi « informatique et libertés » et, le cas échéant, du Code du travail.

Aucun produit biométrique ne possède un « Label CNIL » ou un « Agrément CNIL »

Certains systèmes pour certaines applications bénéficient de formalités allégées (autorisations uniques) :

• Les dispositifs de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire
• Les dispositifs reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail
• Les dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail.

Si le traitement est conforme à l'une des décisions cadres (autorisations uniques), établies par la CNIL une simple déclaration de conformité suffit. Cette démarche peut être réalisée en ligne sur le site de la CNIL.

D'une manière générale, la CNIL n'autorise que les dispositifs où l'empreinte digitale est enregistrée exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base centralisée.

Les personnes doivent toujours être individuellement informées des modalités de mis en œuvre de ces dispositifs. Le responsable de traitement de données biométriques doit permettre aux personnes concernées par des informations qu'il détient d'exercer pleinement leurs droits. Cette information se fait lors de la mise en place du dispositif.

Le non-accomplissement des formalités auprès de la CNIL est passible de 5 ans d'emprisonnement et 300.000 € d'amende. La CNIL peut mettre en demeure une société ayant mis en œuvre un dispositif de contrôle d'accès sans son autorisation préalable.

Les principaux principes de la CNIL

1. Finalité :
   déterminée, pertinente et légitime correspondant aux missions de l’organisme. Tout détournement de finalité est passible de sanctions pénales (art. 226.21 c. pénal). L'avancée de la biométrie multiplie les fichiers dangereux et les possibilités de les constituer avec des traces corporelles.
2. Pertinence :
   Les données doivent être adéquates, pertinentes et non excessives par rapport à la finalité du traitement.
3. Droit à l'oubli :
   une durée de conservation limitée en adéquation avec la finalité poursuivie par le traitement.
4. Communication :
   se limite à des destinataires légitimes, dont l'activité justifie cet accès. Cette disposition ne doit pas être confondue avec celle des "tiers autorisés", dont la police qui garde un droit d'accès à toutes les données de façon ponctuelle et motivée.
5. Sécurité :
   obligation de moyen portant sur la sécurité des locaux et des réseaux informatiques.
6. Droits des personnes :
   - droit à l'information sur la collecte, les finalités et les destinataires des données
   - droit d'accès et de rectification
   - droit d'opposition pour motifs légitimes : automatique en matière commerciale mais pas vis-à-vis des services de l'Etat.
   

La position de la CNIL (http://www.cnil.fr/index.php?id=1304)

Exemples d'avis favorables prononcés par la C.N.I.L.

• Expérimentation de vote électronique par carte à puce comportant le gabarit de l’empreinte digitale de son titulaire (14-03-2002).
• Contrôle d’accès et horaire par le contour de la main du personnel de nettoyage du musée du Louvre (25-01-2001).
• Contrôle horaire par le contour de la main du personnel de nettoyage centre commercial à La Défense.
• Contrôle d’accès avec base de données d’empreintes digitales à des zones hautement sécurisées de la Banque de France (10-06-1997).
• Contrôle d’accès avec base de données d’empreintes digitales à des bâtiments de stockage de plutonium de la COGEMA à La Hague (17-11-2000).
• Contrôle d’accès avec base de données d’empreintes digitales à des zones de fabrication de cartes à puce chez SAGEM (25-04-2002).
• Contrôle d’accès par reconnaissance du contour de la main à une cantine scolaire du Collège Joliot-Curie situé à Carqueiranne (15-10-2002).

Exemples d'avis défavorables prononcés par la C.N.I.L.

• Contrôle d’accès par l’empreinte digitale à la cantine du collège Jean Rostand de Nice (21-03-2000).
• Contrôle d’accès par l’empreinte digitale à tous les locaux de la cité académique de Lille (16-11-2000).
• Contrôle du temps de travail par l’empreinte digitale dans la préfecture de l’Hérault (16-11-2000).
• Contrôle du temps de travail par l’empreinte digitale dans une compagnie aérienne.
• Contrôle du temps de travail par l’empreinte digitale dans une mairie (23-04-2002).
  
  Les diverses décisions déjà prises par la CNIL sur la protection des données personnelles laissent entrevoir une règle, qui peut à ce jour se résumer ainsi.

1. Les technologies de reconnaissance biométrique ne reposant pas sur le stockage des gabarits dans une base de données ne soulèvent pas de difficulté particulière en termes « informatique et libertés », dès lors que le gabarit est conservé sur soi (une carte à puce) ou sur un appareil dont on a l’usage exclusif (un téléphone portable, un ordinateur, etc.) et nulle part ailleurs.
2. En revanche, lorsqu’une base de données est constituée dans le cadre d’un dispositif d’identification biométrique, l’élément biométrique retenu peut avoir une incidence sur nos libertés et notre vie privée ; tel est le cas lorsque l’élément biométrique retenu « laisse des traces » dans notre vie quotidienne (ADN, empreinte digitale). Dans un tel cas, un impératif particulier de sécurité peut conduire à accepter la mise en œuvre de telles bases de données.
3. À défaut d’une telle justification particulière, et lorsqu’une base de données de gabarits est constituée, le choix d’un élément biométrique « ne laissant pas de trace », tel que le contour de la main, la rétine, la reconnaissance vocale, etc. devrait être préféré à la prolifération de fichiers d’ADN ou d’empreintes digitales.

 

Jurisprudence

• Par jugement du 19 avril 2005, le Tribunal de Grande Instance de Paris interdit à une société de Services la mise en place d’un système de contrôle du temps de travail de ses salariés utilisant leurs empreintes
  digitales (Liaisons sociales, Bref social n°14356 du 22 avril 2005 )
  
  Précisant que « l’empreinte digitale, même partielle, constitue une donnée biométrique morphologique qui permet d’identifier les traits physiques spécifiques qui sont uniques et permanents pour chaque individu », le Président Bernard Valette a jugé que « son utilisation, qui met en cause le corps humain et porte ainsi atteinte aux libertés individuelles, peut cependant se justifier lorsqu’elle a une finalité sécuritaire ou protectrice de l’activité exercée dans des locaux identifiés ». Cependant, le magistrat relève qu’en l’espèce, « l’objectif poursuivi (à savoir le contrôle des horaires de travail) n’est pas de nature à justifier la constitution d’une base de données d’empreintes digitales des personnels […], le traitement pris dans son ensemble n’apparaissant ni adapté ni proportionné au but recherché ».

Au-delà d’une application pertinente du nouveau texte de la loi informatique et libertés du 6 août 2004, cette décision confirme la position de la Commission Nationale Informatique et Libertés qui avait, dans sa délibération n°04-018 du 8 avril 2004, émis un avis défavorable à la mise en œuvre d’un dispositif de reconnaissance de l’empreinte digitale ayant pour finalité la gestion du temps de travail des salariés. Saisie par un Centre Hospitalier d’une demande relative à l’utilisation de la biométrie afin de renforcer l’identification des agents hospitaliers au moment des pointages, la Commission avait considéré que « seul un impératif particulier de sécurité » était susceptible de justifier le recours à une telle technologie.

Europe

Inconnu du public, le groupe de travail de l'Article 29 présidé par Peter Schaar, coordinateur des Cnil européennes, est chargé, au sein de la Commission européenne, de coordonner la protection des données privées en Europe. Cette structure tire ses fondements (et son appellation) de l'article 29 d'une directive de 1995 consacrée à «la protection des données et leur libre circulation». Son coordinateur, Peter Schaar - également à la tête de la Cnil allemande - s'est donné pour mission d'améliorer la communication auprès des citoyens européens en rendant public ses travaux sur des domaines tels que l'usage des RFID, les mesures de luttes contre le terrorisme ou la biométrie.

La mission de ce groupe est d'améliorer d'une manière générale le niveau de la protection des données personnelles à travers l'Europe et, ainsi, d'assurer que le droit fondamental à la vie privée n'est pas bafoué. Pour cela, nous il coordonne les actions des autorités locales afin d'harmoniser les règles européennes sur la protection des données personnelles.
Au niveau de Bruxelles, il adopte des recommandations et publie des avis sur les technologies ou projets qui peuvent avoir un impact sur les libertés individuelles.
Il n'a aucun pouvoir de sanction. Mais dans chaque pays les autorités locales de protection des données peuvent disposer de pouvoirs suffisants pour faire respecter les mesures élaborées.

Une directive européenne de 1995 proposait d'uniformiser le traitement de la protection des données et des libertés individuelles. La France a été le dernier Etat à la transposer dans son droit national. La loi " informatique et libertés " de 1978 a symboliquement été maintenue mais profondément remaniée.
En premier lieu, les formalités déclaratives ont été largement simplifiées, le contrôle préalable de la CNIL étant désormais limité aux seuls traitements présentant des menaces particulières d'atteinte aux droits et libertés. En contrepartie, la CNIL dispose de pouvoirs de contrôle et de sanctions étendus - mais sans moyens supplémentaires l'application de ce nouveau texte risque de provoquer un abaissement du niveau général de protection. Enfin, les droits des personnes sur leurs données ont été renforcés.