Depuis plusieurs années, la biométrie se fait de plus en plus présente dans les objets et outils de notre quotidien.
Elle s’insère dans les passeports que nous emmenons avec nous pour voyager, dans les systèmes d’authentification qui nous permettent d’accéder aux fonctionnalités de notre téléphone portable, de réaliser un paiement à distance ou encore d’accéder à des locaux professionnels sécurisés.
Utilisée aussi bien par des entreprises du secteur privé que dans l’exercice de la puissance publique, la Commission nationale de l’informatique et des libertés (Cnil) garde un oeil toujours très attentif sur les garanties apportées pour les droits et libertés des individus (1). Pour bien comprendre cette technologie et ce qui la rend sensible, il est utile de revenir sur quelques notions de base de la biométrie.
Définitions de la biométrie
Sur son site internet (2), la Cnil propose la définition suivante :
« La biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques sont des données à caractère personnel car elles permettent d’identifier une personne. Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales, etc.) ».
Le règlement général sur la protection des données propose quant à lui une définition juridique des données biométriques, entendues comme « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (3).
Il en ressort plusieurs éléments essentiels attachés à la biométrie, à savoir :
- le recours nécessaire à la technique pour obtenir des données biométriques ;
- l’analyse des caractéristiques physiques, biologiques et physiologiques ou comportementales d’un individu ;
- l’objectif de reconnaissance, d’identification d’un individu, qui permet de qualifier de « donnée à caractère personnel » les données biométriques ;
- le caractère d’unicité et de permanence pouvant être attaché à une donnée biométrique.
Techniques biométriques
Les techniques biométriques peuvent utiliser différentes caractéristiques attachées aux individus, telles que notamment :
- la vérification des empreintes digitales ;
- l’analyse du réseau veineux ;
- l’analyse de la forme de la main ;
- la reconnaissance faciale ;
- l’analyse de l’iris ;
- l’analyse de la rétine ;
- la reconnaissance vocale ;
- la détection de l’odeur corporelle ;
- la reconnaissance de la frappe au clavier ;
- l’analyse de la démarche d’un individu ;
- la vérification de sa signature manuscrite.
Chacune de ces techniques se voit rattacher un caractère d’unicité et de permanence plus ou moins fort. Par exemple :
- sur l’unicité: il est moins compliqué de trouver deux individus ayant la même manière de frapper au clavier de leur ordinateur que deux individus ayant les mêmes empreintes digitales ;
- sur la permanence: la démarche d’un individu est amenée à évoluer dans le temps; l’iris ou la rétine beaucoup moins.
L’association de plusieurs techniques biométriques en vue d’améliorer les résultats ou la précision du dispositif est également possible, par exemple la mise en place d’un dispositif de reconnaissance des empreintes digitales et du réseau veineux d’un individu. On appelle cela la biométrie multimodale.
Régime applicable à ce jour
En dehors des traitements mis en œuvre pour le compte de l’Etat, qui font l’objet d’un avis de la Cnil, la loi Informatique et libertés soumet le recours à la biométrie à une autorisation de la Commission.
Afin de simplifier les démarches administratives des responsables de traitement, la Cnil a adopté plusieurs autorisations uniques en matière de biométrie, parmi lesquelles :
- l’autorisation unique AU-052 relative aux dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique ;
- l’autorisation unique AU-053 relative aux dispositifs biométriques ne garantissant pas cette maîtrise.
Le gabarit représente l’ensemble des mesures effectuées et enregistrées par un lecteur biométrique lors du premier enregistrement d’un utilisateur afin de permettre l’authentification de ce dernier. A partir des points caractéristiques présents sur une empreinte digitale par exemple, un algorithme permettra de calculer un identifiant (une suite alphanumérique) qui constituera un gabarit d’empreinte digitale (4). Pour la Cnil, les dispositifs garantissant la maîtrise des personnes sur leur gabarit doivent être privilégiés (support de stockage confié à la personne, par exemple).
Les autorisations uniques décrivent chacune des traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires.
Un organisme souhaitant mettre en place un dispositif biométrique qui serait couvert en tous points par l’une des autorisations uniques pourra adresser à la Cnil un engagement de conformité à cette autorisation unique. En revanche, si le dispositif envisagé n’est pas couvert par une autorisation unique, le responsable du traitement doit adresser à la Cnil une demande d’autorisation spécifique décrivant le dispositif en cause.
Et demain ?
L’application du règlement général sur la protection des données à compter du 25 mai 2018 viendra sans doute renforcer la protection des données biométriques, à travers notamment un principe d’interdiction de traitement assorti d’exceptions ou encore de la nécessité, dans certains cas, de réaliser une analyse d’impact.
Une large part est également laissée aux Etats membres pour le maintien ou l’introduction de conditions supplémentaires au traitement de données biométriques. Il est fort probable que la France se saisisse de cette opportunité (5).
Alain Bensoussan Avocats
Lexing Droit Informatique et libertés
(1) En 2015, la Cnil a délivré 359 autorisations pour des traitements ayant recours à la biométrie. Rapport d’activité 2015 p. 5.
(2) Site de la Cnil, Définition de la biométrie
(3) Règlement (UE) 2016/679 du 27-4-2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE du 24-10-1995 (règlement général sur la protection des données), art. 4 § 10
(4) Communication de la Cnil relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données
(5) Lire le Post du 2-8-2016