Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...

Législation de la biométrie en France

Quelques prérequis

L’exigence de proportionnalité au regard de la finalité

  • Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : (...) 3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. Article 6 de la loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

L’exigence de proportionnalité du code du travail

  • « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ». Article L.120-2 du code du travail.

Exigence de sécurité et de confidentialité

  • « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Article 34 de la loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
  • Le droit applicable à la biométrie est en pleine évolution, mais il est animé par des tendances contradictoires. Dans ce contexte, les principes de la Privacy by Design peuvent améliorer la sécurité juridique de tous les acteurs et renforcer l'effectivité de la norme.

La loi Informatique et libertés

L'autorisation de la CNIL est obligatoire – Pour le moment

  • Les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et sont soumis à l’autorisation préalable de la CNIL (article 25).
    Section 2 : Autorisation - Article 25 Modifié par la loi n°2004-801 du 6 août 2004 - Modifié par la loi n°2016-1321 du 7 octobre 2016 I. - Sont mis en œuvre après autorisation de la CNIL 8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

Code du travail

  • La mise en œuvre d'un procédé biométrique passe nécessairement et préalablement par l'information du comité d'entreprise ou, à défaut, des délégués du personnel et des personnes concernées. (articles L 120-2 et 121-8)

La C.N.I.L.

Évolution des positions de la CNIL dans le temps

  • Phase 1 - C’est nouveau, inconnu, compétences à acquérir pour comprendre et décider, Première réaction négative.
  • Phase 2 - Acquisition des compétences avec la monté des demandes d’autorisation. Traitement au cas par cas.
  • Phase 3 - Mise en place des « Autorisation Uniques » pour pouvoir traiter plus rapidement les demandes, Règles plus contraignantes pour les modalités dites à traces comme les empreintes digitales.
  • Phase 4 - Plus de règles et d’harmonisation en Europe (RGPD). La technologie permet de capturer toutes les modalités sans le consentement de l’usager (fin des traces / sans traces) – Priorité à la sécurité et à la maitrise des données utilisateur.
  • L’avenir ? - Les données dans le cloud, les objets connectés...

La doctrine de la CNIL

  • A la différence d’un badge ou d’un mot de passe, il n’est pas possible de se défaire d’une caractéristique biométrique ou de la modifier. Le mauvais usage ou le détournement d’une telle donnée peut alors avoir des conséquences graves pour les droits et libertés des personnes.
  • L’effacement des frontières entre biométrie « à trace » et « sans trace » ces dernières années a conduit la CNIL à revoir sa doctrine.
  • Aujourd’hui, toutes les caractéristiques biométriques laissent des traces et peuvent présenter des risques élevés pour les personnes concernées.
  • Le recours à un traitement biométrique doit être justifié Le contrôle d’accès biométrique ne doit pas devenir courant et se substituer à d’autres dispositifs standards moins intrusifs pour les personnes (badge, clé, gardiennage, etc.), sans véritable justification.
  • Les dispositifs garantissant la maîtrise des personnes sur leur gabarit doivent être privilégiés. La personne concernée peut se voir confier un support de stockage de son gabarit de référence, afin de réduire les risques de détournement et l’impact d’une usurpation, si le support est subtilisé. En cas de perte ou de vol du support individuel, seule la donnée concernée est compromise et non tous les gabarits des salariés soumis au contrôle d’accès.
  • Si la détention d’un support dédié au seul stockage du gabarit n’est pas adaptée, le gabarit peut être conservé dans les serveurs de la société sous une forme le rendant inexploitable, en l’absence d’intervention de la personne concernée. En pratique cela signifie que le gabarit est protégé par un secret ou un élément que la personne concernée est seule à détenir et qu’elle peut utiliser lors de son authentification.

L'autorisation de la CNIL est obligatoire - Pour le moment

(La biométrie sur le site internet de la CNIL)

L'utilisation d'un dispositif biométrique est soumis à autorisation préalable,sauf pour l’état qui se contente de demander un avis publié mais non contraignant. Tout organisme qui souhaite installer un dispositif biométrique doit adresser par courrier à la CNIL une demande d'autorisation (remplir le formulaire de déclaration accompagné des annexes nécessaires et de tout élément justifiant la mise en place d'un dispositif biométrique).

Aux termes de la loi informatique et libertés de 2004, la CNIL dispose d'un pouvoir d'autorisation expresse des dispositifs biométriques.

C'est en 1997 que la CNIL a examiné son premier dispositif biométrique avec enregistrement des empreintes digitales dans une base de données. Depuis, le nombre de demandes d'autorisation pour de tels systèmes ne cesse de croître. Sur 602 traitements biométriques examinés par la Commission en 2007, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données : 21 ont été refusés, 32 autorisés (les 549 autres traitements concernaient essentiellement des systèmes de reconnaissance du contour de la main).

En 2009, la Cnil a avalisé 800 demandes d'installation de tels systèmes, contre moins de 700 en 2008. Plébiscitées pour assurer les contrôles d'accès aux tarmacs des aéroports ou aux laboratoires de produits dangereux, ces techniques se justifient toutefois beaucoup moins lorsqu'il s'agit simplement de remplacer la célèbre pointeuse.

En 2015 – Plus de 5 000 engagements de conformités à une autorisation unique.

L'analyse de la Commission repose sur le constat que ces dispositifs ne sont justifiés que s'ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes : la finalité du dispositif, la proportionnalité, la sécurité, l'information des personnes concernées.

Les personnes doivent toujours être individuellement informées des modalités de mis en œuvre de ces dispositifs. Le responsable de traitement de données biométriques doit permettre aux personnes concernées par des informations qu'il détient d'exercer pleinement leurs droits. Cette information se fait lors de la mise en place du dispositif.

Le non-accomplissement des formalités auprès de la CNIL est passible de 5 ans d'emprisonnement et 300.000 € d'amende. La CNIL peut mettre en demeure une société ayant mis en œuvre un dispositif de contrôle d'accès sans son autorisation préalable.

Aucun produit biométrique ne possède un « Label CNIL » ou un « Agrément CNIL »

Un document (ancien) de la CNIL : « Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreintes digitales avec stockage dans une base de données ».

Afin de simplifier la procédure, la Commission a allégé les formalités pour certains dispositifs, en définissant un cadre de référence : l’autorisation unique. Quand un organisme met en œuvre un dispositif biométrique qui répond aux exigences définies par une autorisation unique, il peut effectuer une déclaration simplifiée, qui l'engage au respect des conditions définies dans ce texte.

La CNIL peut, à tout moment, effectuer un contrôle sur place pour vérifier la réalité de cet engagement.

 

Comment procéder pour se mettre en conformité ?

Le 30 juin 2016, la CNIL a adopté deux nouvelles autorisations uniques (AU-052 et AU-053) qui remplacent le cadre existant et encadrent l’ensemble des dispositifs biométriques, quel que soit le type de biométrie utilisé.

Ce cadre distingue

  • Les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (AU-052).
  • Les dispositifs biométriques ne garantissant pas cette maîtrise (AU-053).

Ces autorisations uniques intègrent les principes issus du « Règlement européen sur la protection des données personnelles ».

1 - Vérifier que le traitement de données biométriques est nécessaire

  • si un système de badge est suffisant, la réponse est NON.
  • si cela ne répond qu’à un besoin de confort, la réponse est NON.
  • si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles, la réponse est NON.
  • Réponse : NON => Le traitement de données biométriques n’est pas nécessaire, une solution moins intrusive doit être privilégiée.
  • Réponse : OUI => passer à l’étape suivante. (AU-052)

2 - Garantir la maîtrise du gabarit par la personne concernée

  • Le responsable du dispositif biométrique devra privilégier le stockage des gabarits sur supports individuels.
  • S’il n’est pas possible de recourir au support individuel, il devra associer au gabarit stocké en base un secret qui serait confié à la personne concernée et sans lequel le gabarit est illisible.

Les responsables de traitements de contrôle d’accès biométrique passant avec succès ces 2 étapes peuvent se conformer à l’AU-052.

S’il est impossible, compte-tenu du contexte de mettre en place un des systèmes prévus à cette étape, passer à l'étape suivante.

3 - La maîtrise du gabarit par les personnes concernées n'est pas garantie.

Le responsable du traitement souhaitant garder la main sur les gabarits biométriques en les conservant dans ses serveurs :

  • Doit justifier qu'il ne peut pas faire autrement, au regard du contexte de mise en place du dispositif et de son besoin.
  • Doit remplir la grille d’analyse et vérifier le respect des mesures qui y figurent.

Si ces critères sont remplis, il peut effectuer un engagement de conformité à l’AU-053.

 

Les principaux principes de la CNIL

  1. Finalité :

    déterminée, pertinente et légitime correspondant aux missions de l’organisme. Tout détournement de finalité est passible de sanctions pénales (art. 226.21 c. pénal). L'avancée de la biométrie multiplie les fichiers dangereux et les possibilités de les constituer avec des traces corporelles.
  2. Pertinence :

    Les données doivent être adéquates, pertinentes et non excessives par rapport à la finalité du traitement.
  3. Droit à l'oubli :

    une durée de conservation limitée en adéquation avec la finalité poursuivie par le traitement.
  4. Communication :

    se limite à des destinataires légitimes, dont l'activité justifie cet accès. Cette disposition ne doit pas être confondue avec celle des "tiers autorisés", dont la police qui garde un droit d'accès à toutes les données de façon ponctuelle et motivée.
  5. Sécurité :

    obligation de moyen portant sur la sécurité des locaux et des réseaux informatiques.
  6. Droits des personnes :

    • droit à l'information sur la collecte, les finalités et les destinataires des données
    • droit d'accès et de rectification
    • droit d'opposition pour motifs légitimes : automatique en matière commerciale mais pas vis-à-vis des services de l'Etat.

 

Historiques des premières décisions de la CNIL

Exemples d'avis favorables prononcés par la C.N.I.L.

  • Expérimentation de vote électronique par carte à puce comportant le gabarit de l’empreinte digitale de son titulaire (14-03-2002).
  • Contrôle d’accès et horaire par le contour de la main du personnel de nettoyage du musée du Louvre (25-01-2001).
  • Contrôle horaire par le contour de la main du personnel de nettoyage centre commercial à La Défense.
  • Contrôle d’accès avec base de données d’empreintes digitales à des zones hautement sécurisées de la Banque de France (10-06-1997).
  • Contrôle d’accès avec base de données d’empreintes digitales à des bâtiments de stockage de plutonium de la COGEMA à La Hague (17-11-2000).
  • Contrôle d’accès avec base de données d’empreintes digitales à des zones de fabrication de cartes à puce chez SAGEM (25-04-2002).
  • Contrôle d’accès par reconnaissance du contour de la main à une cantine scolaire du Collège Joliot-Curie situé à Carqueiranne (15-10-2002).

Exemples d'avis défavorables prononcés par la C.N.I.L.

  • Contrôle d’accès par l’empreinte digitale à la cantine du collège Jean Rostand de Nice (21-03-2000).
  • Contrôle d’accès par l’empreinte digitale à tous les locaux de la cité académique de Lille (16-11-2000).
  • Contrôle du temps de travail par l’empreinte digitale dans la préfecture de l’Hérault (16-11-2000).
  • Contrôle du temps de travail par l’empreinte digitale dans une compagnie aérienne.
  • Contrôle du temps de travail par l’empreinte digitale dans une mairie (23-04-2002).

 

Jurisprudence

  • Par jugement du 19 avril 2005, le Tribunal de Grande Instance de Paris interdit à une société de Services la mise en place d’un système de contrôle du temps de travail de ses salariés utilisant leurs empreintes digitales (Liaisons sociales, Bref social n°14356 du 22 avril 2005 )

    Précisant que « l’empreinte digitale, même partielle, constitue une donnée biométrique morphologique qui permet d’identifier les traits physiques spécifiques qui sont uniques et permanents pour chaque individu », le Président Bernard Valette a jugé que « son utilisation, qui met en cause le corps humain et porte ainsi atteinte aux libertés individuelles, peut cependant se justifier lorsqu’elle a une finalité sécuritaire ou protectrice de l’activité exercée dans des locaux identifiés ». Cependant, le magistrat relève qu’en l’espèce, « l’objectif poursuivi (à savoir le contrôle des horaires de travail) n’est pas de nature à justifier la constitution d’une base de données d’empreintes digitales des personnels […], le traitement pris dans son ensemble n’apparaissant ni adapté ni proportionné au but recherché ».

Au-delà d’une application pertinente du nouveau texte de la loi informatique et libertés du 6 août 2004, cette décision confirme la position de la Commission Nationale Informatique et Libertés qui avait, dans sa délibération n°04-018 du 8 avril 2004, émis un avis défavorable à la mise en œuvre d’un dispositif de reconnaissance de l’empreinte digitale ayant pour finalité la gestion du temps de travail des salariés. Saisie par un Centre Hospitalier d’une demande relative à l’utilisation de la biométrie afin de renforcer l’identification des agents hospitaliers au moment des pointages, la Commission avait considéré que « seul un impératif particulier de sécurité » était susceptible de justifier le recours à une telle technologie.