Etat des lieux et limites du cadre légal
Déverrouillage des smartphones, authentification des paiements, gestion des mots de passe, contrôle d’identité aux frontières, les technologies biométriques envahissent notre quotidien.
Les avancées de la biométrie, notamment en matière de reconnaissance faciale et d’empreintes digitales, évoquent inévitablement les sombres prédictions de Georges Orwell dans 1984.
Dernière actualité en date, l’aéroport de Francfort a généralisé l’usage de la biométrie afin d’identifier les passagers de l’enregistrement à l’embarquement grâce à un dispositif conçu par l’entreprise Sita, numéro un mondial des technologies aéroportuaires[1]. La biométrie sera également utilisée pendant les Jeux Olympiques de 2024 dans le cadre de la mise en place d’un système de vidéosurveillance automatisée[2].
La biométrie est une technique visant à identifier une personne en fonction de caractéristiques physiques qui lui sont propres. Elle s’appuie sur les données biométriques, définies par le Règlement général sur la protection des données (RGPD) comme des “données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques”[3].
Concrètement, les données sont d’abord collectées et enregistrées, avant d’être comparées.
La phase comparative peut être effectuée de deux manières[4] :
- La fonction d’identification consiste à comparer les informations collectées avec toutes les informations disponibles d’une base de données
- La fonction de vérification consiste à comparer les informations collectées à celles préalablement enregistrées par une seule et unique personne
On distingue deux catégories de technologies biométriques :
- Les mesures physiologiques (morphologiques ou biologiques), d’une part. Elles s’appuient sur des traits physiques uniques pour chaque individu qui ne varient pas avec l’âge. Il s’agit par exemple des empreintes digitales, de l’imagerie de l’iris ou encore des veines de la paume de la main.
- Les mesures comportementales, d’autre part. Elles permettent de vérifier l’identité d’une personne en analysant ses habitudes ou ses actions comme la reconnaissance vocale, le rythme de frappe ou encore la démarche.
La biométrie a complètement réinventé l’authentification, qu’il convient de bien différencier de l’identification :
- S’identifier, c’est dire qui l’on est
- S’authentifier, c’est prouver que l’on est bien cette personne, par exemple grâce à un mot de passe
L’authentification permet donc d’assurer l’imputabilité (apporter la preuve de « qui a fait quoi »), et la traçabilité des actions (l’historique).
Par exemple, dans le cadre d’un paiement en ligne, après avoir saisi les renseignements liés à la carte de crédit en ligne, l'utilisateur reçoit un code unique sur son téléphone portable via SMS. Ce code, combiné aux détails de la carte de crédit, constitue une deuxième couche d'authentification. L’authentification, requise pour finaliser la transaction, renforce ainsi la sécurité en s’assurant de la légitimité de l’identité du propriétaire du compte.
Il existe plusieurs facteurs d’authentification, i.e. plusieurs manières de prouver son identité : les facteurs de connaissance comme les mots de passe, les facteurs de possession comme le badge, ou encore les caractéristiques biométriques.
En tant que moyen d'authentification unique, la biométrie présente l'avantage d'offrir une sécurité bien plus robuste comparée aux méthodes traditionnelles telles que les mots de passe ou les codes PIN, qui sont susceptibles d'être devinés plus facilement. L'emploi de la biométrie renforce donc significativement la sécurité du processus d'authentification.
Au niveau mondial, les gouvernements et les organisations utilisent la biométrie pour lutter contre les usurpations d'identité, prévenir les violations de sécurité et sécuriser les données confidentielles, tout en réduisant les coûts en améliorant l'expérience utilisateur. La reconnaissance d'empreintes digitales demeure la principale technologie biométrique utilisée[5].
L’identification biométrique est utilisée par les services publics (contrôle des frontières, inscription sur les listes électorales, CNI, passeport électronique), par les entreprises (heures de travail et assiduité, gestion des paies, gestion des ressources humaines), mais également par les services financiers et bancaires (identification des clients, des personnes non titulaires de comptes et des employés)[6].
La biométrie est donc une méthode d’authentification prometteuse, bien qu’elle soit délicate à mettre en œuvre, et ce pour plusieurs raisons, au premier rang desquelles son coût, ainsi que le risque de contournement des technologies (certaines technologies peuvent en effet être contournées comme les technologies de reconnaissance faciale qui peuvent être mises à mal par une simple photo)[7].
L’utilisation de données à caractère personnel dites “sensibles”[8] dans le cadre de la biométrie soulève également d’importantes questions juridiques.
La biométrie est essentiellement encadrée au niveau européen par le Règlement général sur la protection des données (RGPD). Elle fait également l’objet de quelques dispositions internationales à la marge et plus spécifiques, concernant les services liés aux activités gouvernementales. Cependant le cadre légal est insuffisant aux nombreux enjeux liés à son utilisation.
I. État des lieux du cadre juridique de la biométrie
La biométrie ne fait l’objet d’aucun régime juridique mais elle est tout de même encadrée au niveau européen par le RGPD (A), ainsi qu’au niveau international (B).
A. L’encadrement juridique de la biométrie au niveau européen
Appliqué dans l'ensemble de l'Union européenne depuis le 25 mai 2018, le Règlement général de l'UE sur la protection des données énonce les conditions d'utilisation et de protection des données des consommateurs dans un contexte de numérisation croissante.
L'article 9 du RGPD interdit formellement le traitement des données biométriques dans le but d'identifier de manière unique les individus, classant ainsi ces données parmi les catégories spéciales de données sensibles. Néanmoins, cette interdiction n'est pas absolue. Des exceptions spécifiques, énumérées dans le même article, peuvent être appliquées dans des situations définies exhaustivement :
- Obtention explicite du consentement de la personne concernée
- Informations biométriques nécessaires pour l'exécution des obligations du responsable du traitement ou de la personne concernée dans les domaines de l'emploi, de la sécurité sociale et du droit de la protection sociale
- Impératif de protection des intérêts vitaux de la personne, en cas d'incapacité physique ou juridique de donner son consentement
- Traitement nécessaire pour contester, exercer ou défendre un droit en justice
- Obligation de traitement pour des motifs d'intérêt public, notamment dans le domaine de la santé publique.
Plusieurs États membres ont adapté leur législation nationale sur la protection des données en s'inspirant de l'article 9, paragraphe 4, du RGPD, en introduisant des restrictions supplémentaires au traitement des données sensibles et en restreignant les circonstances dans lesquelles des exceptions peuvent être invoquées.
Prenons l’exemple de la France, où La loi Informatique et Libertés du 6 janvier 1978 encadre la collecte et le traitement des données à caractère personnel, incluant celles issues de la biométrie. La Commission nationale de l'informatique et des libertés (CNIL) joue un rôle crucial en supervisant la conformité des pratiques liées à la biométrie, garantissant ainsi la protection des droits fondamentaux et de la vie privée des individus dans un contexte numérique en évolution constante.
Le droit français encadre plus précisément l’usage de la biométrie dans un cadre professionnel à travers l’article L 1121-1 du Code du travail[9] qui concilie les impératifs de sécurité et de gestion avec le respect des droits individuels des travailleurs. Si un employeur souhaite utiliser la biométrie, il doit démontrer que son utilisation est nécessaire et proportionnée aux objectifs légitimes de sécurité de l'entreprise. Par exemple, si la biométrie est utilisée pour contrôler l'accès aux locaux, elle doit être adaptée à cette finalité spécifique.
Le Code du travail souligne également l'importance de respecter les droits des travailleurs, en particulier en ce qui concerne la protection de leurs données personnelles. Si des données biométriques sont collectées, l'employeur est tenu de garantir la sécurité et la confidentialité de ces informations, en mettant en place des mesures appropriées pour éviter tout usage abusif ou non autorisé[10].
B. L’encadrement juridique de la biométrie au niveau international
Les douanes
Les administrations douanières veillent à faire respecter les lois sur les échanges transfrontaliers de marchandises, ce qui implique des enquêtes sur les individus associés à ces marchandises, comprenant des vérifications, des enquêtes judiciaires, des poursuites, et des mesures correctives. L'utilisation des données biométriques liées aux délits commerciaux facilite donc la poursuite des contrevenants. Les enregistrements biométriques fiables permettent une détection rapide des fausses identités, constituant ainsi un outil crucial pour les services répressifs et notamment les douanes.
Chargées également de faire respecter les lois pour le compte d'autres organismes gouvernementaux, les administrations douanières utilisent aussi la biométrie pour faciliter la coordination entre les services. La biométrie est notamment utilisée pour contrôler l’accès des opérateurs douaniers ou encore identifier des acteurs de la chaîne logistique comme les agents de douane ou les opérateurs logistiques. Par exemple, la douane de l'Azerbaïdjan a utilisé la biométrie dans le cadre d’un projet pilote de reconnaissance faciale développé par Huawei en 2020 au point de passage de la frontière sud avec l'Iran. Ce système permettait de détecter les personnes franchissant régulièrement la frontière et faisant l'objet de poursuites pénales, avec un taux de détection de 90%[11].
L’aviation
L'OACI[12] est une organisation des Nations Unies (ONU) dont l’activité touche principalement aux techniques de la navigation aérienne, aux transports aériens, à l'assistance technique et au droit aérien. Cette organisation prévoit des lignes directrices concernant l’usage de la biométrie dans le cadre de l’aviation, et expose notamment sa vision en matière de biométrie[13].
Les directives de l'OACI encouragent l'intégration de la biométrie, en particulier la reconnaissance faciale, pour optimiser les procédures aéroportuaires. Elles préconisent l'adoption de l'embarquement biométrique, la collaboration internationale pour des solutions interopérables, et mettent l'accent sur le respect des normes de sécurité et de confidentialité. Ces recommandations visent à garantir une mise en œuvre cohérente à l'échelle mondiale, améliorant ainsi l'efficacité et la sécurité des voyages transfrontaliers.
Une directive conjointe sur les Renseignements Préalables concernant les voyageurs (RPCV) a été publiée en juin 2022 par l’OACI, l’Organisation mondiale des douanes (OMD) et l’Association du transport aérien international (IATA)[14] et elle fait également mention des données biométriques. La RPCV représente une avancée significative dans le renforcement de la sécurité du transport aérien en facilitant la collecte et l'échange anticipé d'informations sur les passagers.
Cette directive permet aux autorités de mieux évaluer les risques en contribuant activement à la prévention du terrorisme, en optimisant les contrôles frontaliers par la fourniture préalable de données et en améliorant l'efficacité des procédures d'immigration. Impliquant des organismes clés à l'échelle mondiale, elle renforce la coopération internationale pour une gestion harmonisée des flux de voyageurs.
Tout en assurant la sécurité, la directive vise à faciliter les déplacements en rationalisant les procédures grâce à une meilleure gestion de l'information. La collecte préalable d'informations permet d'anticiper les menaces potentielles, améliorant ainsi la réactivité des autorités face aux risques. Favorisant la normalisation des pratiques à l'échelle mondiale, elle instaure une approche cohérente et concertée en matière de gestion des données de voyageurs. Face à l'évolution des menaces, la directive offre ainsi un cadre permettant une adaptation constante pour renforcer la sécurité tout en respectant les droits individuels des voyageurs.
Toutefois le cadre juridique reste insuffisant pour répondre aux enjeux liés à l’utilisation de la biométrie.
II. Une réglementation encore insuffisante face aux enjeux liés à la biométrie
Bien qu’il existe déjà un cadre juridique afin de réglementer l’utilisation de la biométrie, celui-ci présente certaines limites (A) qu’il conviendrait certainement de combler (B).
A. Les limites à l’encadrement juridique existant de la biométrie
Protection de la vie privée
Une enquête réalisée par Le Défenseur des droits en octobre 2022[15] indique que 33% des Français hésiteraient ou renonceraient à se rendre à une manifestation si des technologies biométriques y étaient déployées par les forces de l’ordre. Les données biométriques aux fins d’identifier une personne physique de manière unique sont en effet des données “sensibles” au sens de l’article 9 du RGPD[16].
En principe, leur traitement est interdit, mais il est possible de déroger à cette règle sous certaines conditions, comme nous l’avons mentionné dans la partie I. L’article 9 du RGPD énonce notamment les cas où :
- La personne concernée aurait donné son consentement explicite pour une ou plusieurs finalités spécifiques
- Le traitement serait nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique, dans le cas où la personne se trouverait dans l’incapacité physique ou juridique de donner son consentement
Selon l’article 9-4 du RGPD, « Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé ». Ces dispositions cherchent notamment à garantir aux individus concernés la protection de leur vie privée.
En vertu de l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH), « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ». Or, si la biométrie permet de renforcer la sécurité de certains lieux, elle représente une menace pour la vie privée dès lors qu’elle ne se limite plus à la simple vérification d’identité.
L’utilisation faite par la Chine des technologies biométriques à des fins de surveillance en est un exemple. Dans l'Université pharmaceutique de Chine notamment, un système de reconnaissance faciale a été mis en place en 2019 pour suivre l’assiduité des élèves et repérer ceux d’entre eux qui parlent ou somnolent[17].
Les technologies biométriques suscitent ainsi de vives préoccupations en ce qui concerne le droit à la protection des données à caractère personnel (établi à l’article 8 de la Charte des droits fondamentaux de l’Union européenne) et le droit au respect de la vie privée (article 7 de la charte)[18]. Pour éviter que la biométrie ne conduise à une société de surveillance, il est donc indispensable de trouver un équilibre entre l’impératif sécuritaire et le respect de la vie privée.
A cet égard, l’Intelligence Artificial Act européen (AI Act) prévoit notamment l’interdiction de "l'identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives", sauf dans certaines situations précises (comme en cas d'autorisation exceptionnelle des autorités nationales de surveillance, de recherche d'enfants disparus ou encore de prévention d'une menace spécifique)[19].
Sécurité des données
Si la sécurité biométrique est plus difficile à pirater que d’autres moyens d’identification, elle rend aussi ses utilisateurs plus vulnérables en cas de violation des données.
Ainsi en août 2019, 27,8 millions de données biométriques - comme des empreintes digitales ou des photos d’identité - ont fuité d'une base de données mal sécurisée de l’entreprise Suprema[20], “leader mondial de solutions de sécurité”[21].
Or, contrairement aux mots de passe ou à tout système d’identification classique, les données biométriques ne peuvent pas être modifiées. Le potentiel accès à ces données par un tiers présente donc de réels enjeux de sécurité. D’autant plus que des technologies capables de déjouer les contrôles biométriques risquent d’être déployées (par exemple, une technologie de distorsion afin qu’un visage ressemble à un autre ou des verres de contact ou des lentilles destinées à imiter la rétine d’autres personnes)[22], faisant courir un risque d’usurpation.
C’est ce qu’ont cherché à montrer des chercheurs de l’Université de Caroline du Nord lors une conférence organisée par l’association Usenix en 2016[23]. Ils ont pour cela récolté les photos de vingt volontaires sur Internet, ont créé des modèles 3D de leurs visages, et les ont mis en mouvement grâce à des technologies de réalité virtuelle. Sur les cinq systèmes de reconnaissance faciale testés, quatre d’entre eux ont été trompés, et ce dans 55 à 85% des essais.
Coupler les technologies biométriques à une autre forme d’identification, par le biais d’un système de double authentification notamment, peut néanmoins permettre d’atténuer ce risque.
Discrimination
Dans un rapport de 2020 intitulé « Technologies biométriques : l’impératif respect des droits fondamentaux », le Défenseur des Droits alertait sur le potentiel d’amplification et d’automatisation des discriminations, ainsi que sur ses conséquences (comme le refus d’accès à certains lieux par exemple)[24]. Les technologies utilisées peuvent en effet présenter des risques de biais et des taux d’erreur, notamment liés à un manque de représentativité des données utilisées, et donc un risque d’atteinte au droit de non-discrimination.
Une étude du National Institute of Standards and Technology datant de décembre 2020[25] confirme par exemple qu’il est pour le moment plus facile d’identifier des personnes à la peau claire que celles à la peau foncée.
De même, l’utilisation de dispositifs de détection des traits de personnalité d’un individu lors d'un entretien d’embauche automatisé peut s’avérer discriminante pour les personnes en situation de handicap, dont les caractéristiques de visage ou les manières de s’exprimer diffèrent de “la norme” et donc de la majorité des données sur lesquelles les algorithmes de recrutement ont été élaborés.
B. Un cadre juridique à renforcer, malgré des sanctions déjà prononcées
Il est essentiel que les citoyens et les consommateurs soient en mesure de donner leur consentement de manière éclairée face à toute hypothèse de traitement de données biométriques.
Ainsi, en octobre 2022, la CNIL a prononcé une sanction de 20 millions d’euros à l’encontre de la société Clearview AI pour la collecte et l’utilisation de données biométriques sans base légale[26]. En l’espèce, l’entreprise avait utilisé plus de 20 milliards d’images provenant de réseaux sociaux, de sites ou de vidéos en ligne, et sur lesquelles apparaissent des visages, pour constituer et commercialiser une base d’image prenant la forme d’un moteur de recherche permettant de rechercher un individu à l’aide de sa photographie.
En ce qui concerne le traitement de données à caractère personnel, des obligations en matière de transparence doivent être respectées. En vertu des articles 12 à 14 du RGPD, le principe de transparence exige que toute information et communication relatives au traitement de ces données à caractère personnel soient aisément accessibles, compréhensibles, communiquées d’une façon concise, et formulées en des termes clairs et simples[27].
Les personnes concernées doivent notamment être informées de l'identité et des coordonnées du responsable du traitement (ou de son représentant le cas échéant), des finalités du traitement auquel sont destinées les données à caractère personnel, de leurs destinataires et de l'existence du droit de demander au responsable du traitement l'accès à ces données. En 2023, la société Criteo, spécialisée dans l’affichage de publicités ciblées sur le web, a ainsi été sanctionnée à hauteur de 40 millions d’euros. Les raisons de cette sanction étaient, entre autres, le manquement à l’obligation d’être en mesure de démontrer que les personnes concernées avaient donné leur consentement, et le manquement aux obligations d’information et de transparence (en raison d’une absence de communication sur toutes les finalités du traitement des données dit de "reciblage publicitaire ")[28].
Selon l’énquête du “Défenseur des droits” d’octobre 2022 sur la perception du développement des technologies biométriques en France, 84% des français estiment qu’un renforcement du cadre juridique applicable permettrait de mieux garantir les droits des personnes et 33% considèrent qu’il est tout à fait prioritaire d’établir des interdictions dans certains domaines.
Le 10 mai 2022, le Sénat publiait un rapport d’information intitulé “La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance”[29].
Le 12 juin 2023, le Sénat a adopté la proposition de loi relative à la reconnaissance biométrique dans l’espace public[30]. Ce texte prévoit de créer un cadre juridique d’expérimentation pour trois ans. En son Chapitre 1, il rappelle la nécessité de faire obstacle à une société de surveillance, en interdisant de principe le traitement de données biométriques aux fins d’identifier une personne à distance dans l’espace public et dans les espaces accessibles au public dès lors que la personne n’a pas donné son consentement explicite, libre et éclairé. Pour que le consentement soit valable, rappelons qu’il est nécessaire que :
- Le responsable du traitement des données dispose d’une déclaration expresse de la part de la personne concernée (consentement explicite)
- Le consentement n'ait pas été obtenu sous la contrainte, la personne concernée doit véritablement avoir le choix (consentement libre)
- La personne dont les données biométriques sont concernées ait reçu au préalable une information claire, complète, compréhensible et appropriée à sa situation pour qu'elle comprenne ce à quoi elle consent et à quelles fins (consentement éclairé).
Seuls des cas d’exceptionnelle gravité permettent de déroger à cette interdiction. Ils doivent alors obéir “aux principes de nécessité et de proportionnalité, appréciés notamment au regard de la finalité qu’elles poursuivent et des circonstances dans lesquelles elles sont mises en œuvre, du caractère limité des images traitées et de leur durée de conservation”.
Il convient également de noter que le texte opère une distinction entre l’utilisation de la reconnaissance biométrique a posteriori, c’est-à-dire, dans le cas de la reconnaissance faciale, sur des images récoltées puis traitées, et la reconnaissance biométrique en temps réel.
Dans son Chapitre II, le texte annonce clairement une exception au refus d’une société de surveillance étant donné qu’il autorise, sous certaines conditions, l’expérimentation de dispositifs d’authentification biométrique sans consentement pour l’accès à certains grands évènements. Dans ses Chapitres III et IV, il dispose également d’exceptions dans le cadre d’enquêtes judiciaires, de renseignement, de lutte contre le terrorisme et la grande criminalité.
Malgré les obligations auxquelles sont assujettis les acteurs de la biométrie, plusieurs enjeux majeurs persistent.
- Le risque d’erreur. La présence d’une personne humaine est encore indispensable pour réguler le système en cas d’erreur dans la mesure où une correspondance erronée (faux positif) ou l’absence de correspondance pourtant réelle (faux négatifs) peut avoir de lourdes conséquences sur l'individu concerné. Afin d’éviter cela, il est important de veiller à ce que les agents employés pour manipuler et surveiller les appareils biométriques soient précautionneusement formés[31].
- La protection des données biométriques. Les données sont conservées dans des bases qui sont des cibles pour les activités malveillantes[32]. Certaines solutions existent pour lutter contre ce problème. C’est notamment le cas de la tokenisation. Grâce au cryptage, la donnée biométrique est convertie en un code appelé token. Celui-ci ne peut être déchiffré que par une personne possédant la bonne clé de déchiffrement, ce qui limite l’exposition des propriétés biométriques des individus, et réduit leur risque de piratage. En parallèle, le renforcement du cadre légal devrait imposer des normes de sécurité élevées pour protéger les données biométriques.
- La responsabilité des entreprises qui collectent et traitent des données biométriques. Cela peut inclure des audits réguliers, des rapports de conformité et des sanctions sévères en cas de non-respect des normes établies.
- Une harmonisation des normes à l’échelle mondiale. En dehors de l’Union européenne qui a été l’une des premières régions au monde à se doter d’un cadre juridique pour limiter les dérives de l’IA, le niveau de protection diffère selon la législation en vigueur. Aux États-Unis par exemple, il n’existe pas de législation fédérale unique qui protège les données personnelles biométriques. Le développement de standards internationaux permettant l’échange de données biométriques constitue donc désormais un enjeu important. Afin de renforcer l’efficacité des dispositifs de lutte contre la fraude, il parait nécessaire de fixer des normes internationales pour favoriser la coopération, l’assistance mutuelle et le partage des informations.
Même si l’encadrement de la biométrie s’est renforcé ces dernières années, et ce particulièrement en Europe, il semble nécessaire de continuer à renforcer le cadre juridique et de rester attentif aux nouveaux enjeux qu’elle soulèvera pour pouvoir mieux gérer les risques qui y seront liés.
Chronique « Droit, Juriste et Pratique du Droit Augmentés »
Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.
Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute
[1] B. Trévidic, « A l’aéroport de Francfort, le visager va remplacer la carte d’embarquement », Les Echos, 26 octobre 2023, https://www.lesechos.fr/industrie-services/tourisme-transport/a-laeroport-de-francfort-le-visage-va-remplacer-la-carte-dembarquement-2010178
[2] C. Pignatelli et M. Drago, « Vidéosurveillance biométrique aux JO de Paris : la victoire d’un lobby », Basta !, 2 mai 2023, https://basta.media/Jeux-olympiques-videosurveillance-biometrique-au-JO-de-Paris-la-victoire-d-un-lobby
[3] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre1
[4] https://www.autoriteprotectiondonnees.be/publications/recommandation-01-2021-du-1-decembre-2021.pdf
[5] Rapport d’étude de l’OMD/OMC sur les technologies de rupture, Juin 2022 – page 15, https://www.wto.org/french/res_f/booksp_f/wco-wto_f.pdf
[6] https://www.bayometric.com/importance-of-biometric-fingerprinting-technology/
[7] Agence Nationale de la Sécurité des Systèmes d’Information
[8] Article 9 du RGPD ; https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2
[9] “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché”
[10] Slampion, « L’article L 1121-1 du Code du travail, 12 décembre 2011, https://www.legavox.fr/blog/slampion/article-1121-code-travail-7171.htm. Plus récemment : L Paquin, « Biométrie au travail : les obligations renforcées du responsable de traitement à l’aune du règlement-type », Village de la Justice, 17 avril 2019, https://www.village-justice.com/articles/biometrie-travail-les-obligations-renforcees-responsable-traitement-aune,31248.html
[11] Cité in Rapport d’étude de l’OMD/OMC sur les technologies de rupture, juin 2022, https://www.wto.org/french/res_f/booksp_f/wco-wto_f.pdf
[12] Organisation de l'aviation civile internationale
[13] OACI - Documents de voyage lisibles à la machine - Partie 9 - : Déploiement de l’identification biométrique et stockage électronique des données dans les DVLM, https://www.icao.int/publications/documents/9303_p9_cons_fr.pdf
[14] Directives sur les Renseignements Préalables concernant les Voyageurs (RPCV), juin 2022, https://www.icao.int/Security/FAL/ANNEX9/Documents/API%20Guidelines.FR.final.pdf
[15] https://www.defenseurdesdroits.fr/sites/default/files/2023-07/ddd-enquete-perception-du-developpement-des-technologies-biom%C3%A9triques-en-France-20221004.pdf
[16] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article9
[17] Y. Yang et M. Murgia, “How China cornered the facial recognition surveillance market”, Los Angeles Times, 9 décembre 2019, https://www.latimes.com/business/story/2019-12-09/china-facial-recognition-surveillance
[18]https://www.europarl.europa.eu/charter/pdf/text_fr.pdf
[19] J. Cheminat, « AI Act : une régulation européenne tout en compromis », Le Monde Informatique, 11 décembre 2023, https://www.lemondeinformatique.fr/actualites/lire-l-ia-en-partie-responsable-de-la-hausse-des-couts-des-datacenters-92311.html
[20] J. Bergounhoux, « 27,8 millions de données touchées par une faille de sécurité chez un spécialiste du contrôle d’accès biométrique », L’Usine Digitale, 16 août 2019, https://www.usine-digitale.fr/article/27-8-millions-de-donnees-touchees-par-une-faille-de-securite-chez-un-specialiste-du-controle-d-acces-biometrique.N875315
[21]https://www.supremainc.com/fr/main.asp
[22]https://www.wto.org/french/res_f/booksp_f/wco-wto_f.pdf
[23]https://www.youtube.com/watch?v=wSBYqQHx2aI
[24]https://juridique.defenseurdesdroits.fr/doc_num.php?explnum_id=20934#:~:text=En%20mai%202020%2C%20le%20D%C3%A9fenseur,ceux%2D%20ci%20dans%20toutes%20les
[25] P. Grother, M. Ngan et K. Hanaoka, « Face Recoginition Vendor Test (FRVT), NISTIR 8280, décembre 2019,https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8280.pdf
[26] https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046444859?isSuggest=true
[27] https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article12
[28]https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000047707063?init=true&page=1&query=SAN-2023-009&searchField=ALL&tab_selection=all
[29] Rapport d’information n° 627 (2021-2022), déposé au Sénat le 10 mai 2022, https://www.senat.fr/rap/r21-627/r21-6277.html#fn53
[30] Proposition de loi relative à la reconnaissance biométrique dans lespace public, adoptée en première lecture par le Sénat le 12 juin 2023, https://www.senat.fr/leg/tas22-128.html
[31] Rapport d’information, « Identité intelligente et respect des libertés », n°439 (2004-2005), déposé le 29 juin 2055, II-A) – Un titre d’identité biométrique : quels avantages pour la sécurité ?, https://www.senat.fr/rap/r04-439/r04-4394.html
[32] Rapport d’étude de l’OMD/OMC sur les technologies de rupture, précité, note 11.
© Edhec - Constance Coupry et Diane Denante, étudiantes en dernière année à l’EDHEC Business School, LLM Law & Tax Management
Source : https://mesinfos.fr