Etat des lieux et limites du cadre légal
Déverrouillage des smartphones, authentification des paiements, gestion des mots de passe, contrôle d’identité aux frontières, les technologies biométriques envahissent notre quotidien.
Les avancées de la biométrie, notamment en matière de reconnaissance faciale et d’empreintes digitales, évoquent inévitablement les sombres prédictions de Georges Orwell dans 1984.
Dernière actualité en date, l’aéroport de Francfort a généralisé l’usage de la biométrie afin d’identifier les passagers de l’enregistrement à l’embarquement grâce à un dispositif conçu par l’entreprise Sita, numéro un mondial des technologies aéroportuaires[1]. La biométrie sera également utilisée pendant les Jeux Olympiques de 2024 dans le cadre de la mise en place d’un système de vidéosurveillance automatisée[2].
La biométrie est une technique visant à identifier une personne en fonction de caractéristiques physiques qui lui sont propres. Elle s’appuie sur les données biométriques, définies par le Règlement général sur la protection des données (RGPD) comme des “données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques”[3].
Concrètement, les données sont d’abord collectées et enregistrées, avant d’être comparées.
Législation de la biométrie
Législation
A l'ère de la concurrence mondialisée, l'immigration, notamment du Sud vers le Nord, est de plus en plus importante.
Elle trouve un fondement juridique dans l'article treize de la Déclaration universelle des droits de l'homme, qui garantit la liberté d'aller et de venir, dans l'article douze du Pacte international des droits civils, dans le protocole numéro quatre de la Convention européenne de sauvegarde des droits de l'homme.
Mais la plupart des Etats, pour des raisons économiques et culturelles en relation avec la sécurité, écartent le droit général à l'immigration.
Depuis le début du vingt-et-unième siècle, les restrictions se sont élargies. Les Etats souhaitent mieux connaître et identifier les migrants. Pour ce faire, il est de plus en plus souvent fait appel aux techniques biométriques et notamment la reconnaissance faciale, les empreintes digitales et l'iris.
Est-il possible de parvenir à un équilibre entre la liberté de circuler et le droit de contrôle de chaque Etat sur les migrants par la biométrie ? Tel est l'objet de l'article de Claudine Guerrier Enseignant-chercheur à l'Institut national des télécommunications.
Législation de la biométrie en France
Quelques prérequis
L’exigence de proportionnalité au regard de la finalité
- Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (...) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.Article 6 de la loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
L’exigence de proportionnalité du code du travail
- « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».Article L.120-2 du code du travail.
Exigence de sécurité et de confidentialité
- « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».Article 34 de la loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
- Le droit applicable à la biométrie est en pleine évolution, mais il est animé par des tendances contradictoires. Dans ce contexte, les principes de la Privacy by Design peuvent améliorer la sécurité juridique de tous les acteurs et renforcer l'effectivité de la norme.
Législation de la biométrie en Europe
Europe - Article 29
Inconnu du public, le groupe de travail de l'Article 29, est chargé, au sein de la Commission européenne, de coordonner la protection des données privées en Europe. Cette structure tire ses fondements (et son appellation) de l'article 29 d'une directive de 1995 consacrée à « la protection des données et leur libre circulation ».
La mission de ce groupe est d'améliorer d'une manière générale le niveau de la protection des données personnelles à travers l'Europe et, ainsi, d'assurer que le droit fondamental à la vie privée n'est pas bafoué. Pour cela, nous il coordonne les actions des autorités locales afin d'harmoniser les règles européennes sur la protection des données personnelles.
Au niveau de Bruxelles, il adopte des recommandations et publie des avis sur les technologies ou projets qui peuvent avoir un impact sur les libertés individuelles.
Il n'a aucun pouvoir de sanction. Mais dans chaque pays les autorités locales de protection des données peuvent disposer de pouvoirs suffisants pour faire respecter les mesures élaborées.
Biométrie et vie privée
La biométrie, une technologie protectrice de la vie privée ?
Une biométrie protectrice de la vie privée ? L'idée peut paraître saugrenue, voire provocatrice, au vu de la récente polémique provoquée par Apple et son iPhone 5S doté d'un capteur biométrique.
Elle mérite pourtant que l'on s'y intéresse à l'heure où la biométrie s'invite progressivement dans nos vies quotidiennes. Équipements mobiles, banque en ligne, commerce électronique... la biométrie dite de « confort » ou « grand public » a de beaux jours devant elle.
Ces nouveaux usages interpellent la CNIL elle-même, actuellement en cours réflexion pour faire évoluer sa doctrine. La vie privée des utilisateurs en sera-t-elle pour autant sacrifiée ? Rien n'est moins sûr. En effet, des projets de recherche sont menés pour développer des technologies biométriques plus protectrices de la vie privée.
Biométrie révocable, anonyme ou cryptage biométrique pourraient être la solution pour concilier confort et vie privée...
Conservation des empreintes digitales
Conservation des empreintes digitales d'une personne non condamnée et droit au respect de la vie privée : condamnation de la France
Portent atteinte au droit au respect de la vie privée (Conv. EDH, art . 8), et ne traduisent pas un juste équilibre entre les intérêts publics et privés en jeu, la conservation et l'enregistrement au fichier automatisé des empreintes digitales par les autorités nationales, alors que leur titulaire, qui avait fait l'objet d'une relaxe, en demandait la suppression.
La protection des données à caractère personnel est fondamentale pour l’exercice du droit au respect de la vie privée. Sont « des données à caractère personnel » les échantillons cellulaires, les profils ADN ou encore les empreintes digitales d’un individu. Leur conservation ou mémorisation s'analyse donc en une atteinte au droit au respect de la vie privée au sens de l'article 8, § 1er, de la Convention européenne des droits de l’homme (Conv. EDH). À ce titre pour être conforme aux exigences conventionnelles, une telle ingérence doit être prévue par la loi, poursuivre un but légitime et être nécessaire dans une société démocratique. La Cour européenne se montre traditionnellement stricte à l’égard de tels fichiers automatisés et utilisés à des fins policières. Ainsi a-t-elle posé en principe que la conservation générale et indifférenciée, sans limitation de temps, d'empreintes digitales, échantillons biologiques et profils ADN de personnes soupçonnées d'avoir commis des infractions mais non condamnées viole l'article 8 de la Conv. EDH (CEDH, grde ch., 4 déc. 2008, S. et Marper c. Royaume-Uni). La France vient à son tour d’être sanctionnée sur cette question par la juridiction strasbourgeoise. Toute comme le Royaume-Uni, la France « n’a pas su ménager un juste équilibre entre les intérêts publics et privés en jeu ».