Vidéosurveillance, géolocalisation et biométrie font désormais partie de la panoplie sécuritaire des espaces privés ou publics. Aujourd’hui, l’accès à une salle d’examen ou un bloc opératoire peut ainsi être soumis à l’obligation de scanner le réseau veineux palmaire du candidat ou du personnel médical (1). En application de la loi Informatique et libertés, modifiée en 2004, les dispositifs de reconnaissance biométrique sont, pour la plupart, soumis à une autorisation préalable de la Cnil. Or, la Cnil vient d’alléger les formalités d’autorisation, pour la mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main, privilégiant ainsi les dispositifs d’identification sans contact (2). Encore faut-il que cette technique ne soit affectée qu’au contrôle d’accès des locaux sur le lieu de travail. La société qui souhaite s’équiper d’un tel dispositif dans le respect des dispositions de la décision unique n°AU-019, doit adresser à la Cnil un engagement de conformité. La biométrie regroupe les techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Ces données sont ainsi considérées comme des données à caractère personnel, permettant d’identifier une personne de manière irrévocable. Or, tous les traitements comportant des données biométriques doivent faire l’objet d’une autorisation préalable de la Cnil.
Parmi les données biométriques utilisées aujourd’hui, la Cnil considère l’empreinte digitale comme une donnée à risque, dont la diffusion, non maîtrisée ou accidentelle, peut avoir des conséquences irrémédiables pour les personnes. Contrairement à tout autre identifiant (code, mot de passe), l’empreinte digitale ne peut être modifiée une fois collectée, ce qui impose d’en limiter l’usage pour éviter une usurpation d’identité presque « parfaite ». Cette « biométrie à trace » est donc particulièrement encadrée par la Cnil qui, l’an dernier, a refusé d’autoriser plusieurs dispositifs ne pouvant justifier d’un fort impératif de sécurité. Pour la Cnil, confier ses données biométriques à un tiers doit répondre à une nécessité exceptionnelle et être entourée de garanties sérieuses. Cette technologie doit, tout d’abord, présenter certaines caractéristiques techniques (chiffrage de l’enregistrement du gabarit veineux ou possibilité d’associer d’autres données d’identification – nom, prénom, photographie – au gabarit du réseau veineux du doigt). La durée de conservation des données doit être fixée (de 3 mois à 5 ans selon les cas). Le responsable du traitement doit également prendre « toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, et notamment pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance » (3). Enfin, l’information des employés et des instances représentatives du personnel doit être effectuée avant la mise en œuvre effective du dispositif biométrique, sous peine d’une peine pouvant atteindre 300 000 euros d’amende et 5 ans de prison.
(1) Cnil, Délib. 2009-360 du 18-06-2009 et 2009-174 du 26-03-2009
(2) Cnil, Délib. 2009-316 du 07-05-2009
(3) Loi du 06-01-1978 modifiée, art 34