Biométrie
Informatique et libertés
La biométrie fait son entrée dans l’entreprise : la Cnil rappelle les règles
La Cnil rappelle que son autorisation est obligatoire pour la mise en œuvre de traitements comportant des données biométriques (reconnaissance de la rétine, du contour de la main, de l’empreinte. La sécurité est un marché en plein essor dans lequel de nombreux éditeurs de solutions se sont engouffrés, proposant aux entreprises des dispositifs de reconnaissance des empreintes digitales. Face à ce développement, la Cnil a tenu à effectuer une mise au point : aucun dispositif biométrique n’a fait l’objet d’un « label CNIL » ou d’un agrément a priori.
D’une manière générale, la Cnil n’autorise que les dispositifs où les données biométriques comme les empreintes digitales sont enregistrées exclusivement sur un support individuel (carte à puce, clé USB) et non dans une base de données centralisée.
Communiqué de la Cnil du 05/1/2007
La CNIL adopte trois autorisations uniques relatives aux techniques biométriques
L’article 25 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée en 2004 prévoit que les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes doivent être autorisés par la Cnil préalablement à leur mise en œuvre. En application de cet article, la Cnil a d’ores et déjà autorisé plusieurs traitements de données biométriques lorsque les conditions dans lesquelles ils étaient opérés ne présentaient pas de risque particulier au regard de la protection des données à caractère personnel.
Ces autorisations portaient sur la mise en place de systèmes de reconnaissance du contour de la main pour permettre les contrôles d’accès, la gestion des horaires et la restauration sur les lieux de travail d’une part et l’accès aux restaurants scolaires d’autre part. Considérant que ce type de traitements ne comporte pas de risque particulier dans la mesure où ces données biométriques ne laissent pas de traces susceptibles d’être collectées à l’insu des personnes concernés, la Cnil a adopté deux autorisations uniques posant les conditions que doivent respecter les responsables de traitement pour pouvoir bénéficier du régime de déclaration de conformité à la Cnil.
Ce régime particulier les exonère de l’obligation d’obtenir l’autorisation préalable de la Cnil à la mise en œuvre de traitements de données biométriques similaires à ceux décrits dans les autorisations uniques. La troisième autorisation unique prise par la Cnil vise les systèmes de reconnaissance par empreintes digitales lorsque ces données sont exclusivement enregistrées dans un support individuel (une carte à puce) dont la personne concernée a le contrôle exclusif.
Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements pourront opérer leur déclaration de conformité en remplissant une déclaration accessible sur le site www.cnil.fr.
Autorisation unique n°AU-007 Délibération n°2006-101 de la Cnil du 27 avril 2006
Autorisation unique n°AU-008 Délibération n°2006-102 de la Cnil du 27 avril 2006
Autorisation unique n°AU-009 Délibération n°2006-103 de la Cnil du 27 avril 2006
26ème Rapport d’activité 2005 : La CNIL fait la synthèse de ses décisions en matière de biométrie
Dans son dernier rapport d’activité pour l’année 2005, la Cnil revient sur la doctrine qu’elle a établie depuis plusieurs années en matière de biométrie.
Elle réaffirme ainsi la grande distinction qu’elle opère entre les traitements de données biométriques portant sur des éléments traçables dits « à trace » et ceux ne portant pas sur ce type d’éléments dits « sans trace ».
Ces derniers consistent essentiellement en l’utilisation de techniques de reconnaissance de la rétine ou de reconnaissance par le contour de la main. Ne permettant pas, en eux-mêmes, de reconnaître un individu à son insu en collectant ses données biométriques sans qu’il en ait conscience, la Cnil considère qu’il ne s’agit pas de traitements de données biométriques dangereux et autorise en général leur mise en oeuvre.
Concernant les traitements laissant des traces et, en particulier, ceux utilisant la reconnaissance par empreinte digitale, la Cnil considère qu’ils peuvent permettre une collecte de données biométriques des personnes à leur insu, ce qui les rend, de fait, dangereux.
La Cnil a donc établi les critères selon lesquels la mise en oeuvre de traitements de données biométriques laissant des traces est susceptible d’être autorisée en déterminant ainsi trois niveaux différents.
Le premier niveau correspond à un impératif de sécurité élevée, comme un contrôle aux frontières, par exemple. Dans ce cas, la Cnil autorise la mise en oeuvre d’un traitement de données à caractère biométrique laissant des traces.
Le second niveau correspond à un impératif de sécurité moindre comme par exemple l’accès de salariés à des locaux sécurisés (ceux de La Poste ou d’aéroports). Dans ce cas, la Cnil pour autoriser le traitement mis en œuvre demande que les données biométriques laissant des traces soient stockées dans un support individuel et non dans une base de données centralisée.
Le troisième niveau correspond à une absence d’impératif de sécurité. Dans ce cas, la Cnil peut autoriser la mise en oeuvre d’un traitement de données biométriques laissant des traces dès lors que les données biométriques sont stockées sur un support individualisé (une carte à puce) et, qu’en outre, l’utilisation de ce système biométrique reste facultatif pour les personnes concernées. Concernant la biométrie de confort, la Cnil a ainsi autorisé la mise en place d’une carte de fidélité permettant à des voyageurs de stocker leurs empreintes digitales sur une puce, de manière facultative, afin d’accéder à des services particuliers.
L’ensemble des décisions de la Cnil relatives à la mise en oeuvre de traitements de données biométriques ainsi que son rapport d’activité annuel sont accessibles depuis le site de la Cnil www.cnil.fr.
Autorisation de deux dispositifs reposant sur la reconnaissance du contour de la main dans le cadre de contrôles d’accès à des cantines scolaires
La Cnil doit être sollicitée pour donner son autorisation à la mise en place de solutions biométriques dans des organismes, collectivités locales ou entreprises (art. 25 de la loi du 06/01/1978 modifiée). La Cnil a été amenée à élaborer une jurisprudence qu’elle semble encore une fois confirmer en faisant la différence entre les techniques biométriques laissant des traces et celles qui n’en laissent pas.
Elle fait ainsi la différence entre les solutions de reconnaissance du contour de la main qui ne laissent pas de trace et qui ne peuvent être utilisées pour des finalités non prévue en dehors de la présence de la personne concernée et la reconnaissance par empreintes digitales qui laisse inévitablement des traces et peut dériver vers des utilisations dont la finalité n’est pas prévue initialement.
Se fondant sur cette différentiation bien établie, la Cnil a autorisé le 12 janvier 2006 deux lycées à utiliser des dispositifs reposant sur la reconnaissance du contour de la main pour permettre un contrôle à une cantine scolaire. La Cnil a, le même jour, refusé d’autoriser quatre dispositifs biométriques de reconnaissance par empreintes digitales permettant pour trois d’entre eux un contrôle d’accès et pour le dernier un contrôle des horaires. La Cnil considère en effet que la reconnaissance par empreintes digitales ne peut être utilisée qu’en cas de nécessité impérative de sécurité ce qui n’était manifestement pas le cas d’un contrôle d’accès dans une entreprise « classique » et d’un contrôle d’horaire.
CNIL – Echos des séances du 30/01/2006