Législation de la biométrie
Législation
A l'ère de la concurrence mondialisée, l'immigration, notamment du Sud vers le Nord, est de plus en plus importante.
Elle trouve un fondement juridique dans l'article treize de la Déclaration universelle des droits de l'homme, qui garantit la liberté d'aller et de venir, dans l'article douze du Pacte international des droits civils, dans le protocole numéro quatre de la Convention européenne de sauvegarde des droits de l'homme.
Mais la plupart des Etats, pour des raisons économiques et culturelles en relation avec la sécurité, écartent le droit général à l'immigration.
Depuis le début du vingt-et-unième siècle, les restrictions se sont élargies. Les Etats souhaitent mieux connaître et identifier les migrants. Pour ce faire, il est de plus en plus souvent fait appel aux techniques biométriques et notamment la reconnaissance faciale, les empreintes digitales et l'iris.
Est-il possible de parvenir à un équilibre entre la liberté de circuler et le droit de contrôle de chaque Etat sur les migrants par la biométrie ? Tel est l'objet de l'article de Claudine Guerrier Enseignant-chercheur à l'Institut national des télécommunications.
Les systèmes biométriques ont deux fonctions principales
- Mesurer certains paramètres physiques propres à chaque individu (recueil de données)
- Les comparer à d’autres données contenues dans une base de données d’éléments morphologiques de référence.
Ces systèmes permettent donc un traitement d’informations nominatives, d’où la nécessité de protéger ces données personnelles.
La polémique sur les cartes d'identité et les passeports de nouvelle génération fait oublier que la biométrie est en voie d'investir l'entreprise. La biométrie apporte une solution aux besoins de contrôle des accès, du temps de travail, aussi bien que de la gestion des ressources humaines. De fait, il reste pour les responsables à prendre la mesure exacte des obligations légales qui pèsent sur un procédé sensible, objet d'une vigilance toute particulière de la CNIL (Commission nationale informatique et libertés), ainsi que des tribunaux.
Les systèmes biométriques permettent un traitement d'informations nominatives ; leur mise en oeuvre est soumise, en France, à la loi n°78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés. Cette mise en oeuvre sur le territoire français est soumise à l'autorisation de la commission nationale de l'informatique et des libertés (CNIL), ce qui garantit au public qu'il n'y a pas atteinte à la vie privée, ou aux libertés individuelles ou publiques.
Depuis la réforme législative du 6 août 2004, toute entreprise publique ou privée doit obtenir préalablement à l'installation d'un système biométrique l'autorisation de la CNIL. Auparavant, la commission ne pouvait s'y opposer dès lors que la déclaration du traitement était intervenue dans les formes. Pour autant, celle-ci a établi depuis une dizaine d'années des lignes directrices au fil de ses délibérations et avis qui, sans prohiber la biométrie en tant que telle, rendent la marge de manoeuvre de l'entreprise particulièrement étroite.
La mise en oeuvre d'un procédé biométrique passe nécessairement et préalablement par l'information du comité d'entreprise ou, à défaut, des délégués du personnel et des personnes concernées. Cette information comprend notamment l'indication de son caractère obligatoire ou facultatif, les destinataires des informations et les modalités d'exercice des droits prévus par la loi informatique et libertés.
En ce qui concerne les caractéristiques des systèmes, la CNIL privilégie le stockage des données sur un support individualisé. Par exemple, lorsque le gabarit d'une empreinte digitale est stocké sur une carte individuelle. Le recours à une base de données centralisée suscite de réelles réticences. La commission a émis des avis défavorables à la mise en oeuvre de ce type de traitement. On part ainsi du principe que la centralisation des données biométriques présente des risques de détournement.
La centralisation n'est pas totalement interdite, pourvu qu'elle réponde à un impératif de sécurité ou quand le procédé peut être considéré comme « sans traces ». Tel n'est pas le cas des empreintes digitales susceptibles d'être utilisées à des fins étrangères à la finalité recherchée par le responsable du traitement. C'est ainsi que la CNIL tend, sinon à s'opposer aux systèmes biométriques reposant sur la technologie des empreintes digitales, du moins à les entourer de garanties. Afin de favoriser l'usage de procédés « sans traces », la commission vient d'autoriser plusieurs dispositifs reposant sur l'utilisation de la reconnaissance du contour de la main pour des usages variés, parmi lesquels le contrôle des horaires de travail.
Informer les salariés
La CNIL considère que l'objectif d'une meilleure gestion du temps de travail, aussi légitime soit-il, ne paraît pas de nature à justifier le recours à la biométrie.
Le tribunal de grande instance de Paris a rendu un premier jugement en la matière le 14 avril 2005 à l'occasion de l'installation d'un système biométrique de contrôle des temps de travail par reconnaissance des empreintes digitales. Le tribunal s'assure que l'ensemble des mesures préalables ont été respectées : consultation du comité d'entreprise, information des salariés et démarches auprès de la CNIL. Relevant que l'utilisation d'une empreinte digitale « met en cause le corps humain et porte ainsi atteinte aux libertés individuelles », les juges font application du principe de proportionnalité et rejettent le système au motif principal que la société ne démontre pas en quoi sa mise en place s'avère nécessaire au contrôle des horaires des salariés. Il appartient donc à l'entreprise de démontrer cette nécessité, auquel cas il n'est pas exclu que le système puisse être jugé adapté et proportionné au but recherché.
Ce jugement, sans poser d'interdiction de principe, ne contribue pas à lever toutes les hésitations et rend souhaitable une clarification rapide de la marche à suivre pour qui souhaite introduire ou utiliser la biométrie en entreprise.
La C.N.I.L.
L'autorisation de la CNIL est obligatoire
voir l'article sur la CNIL