Clearview : la France protège vos données biométriques

Clearview

Alain Bensoussan a été interviewé par le magazine L’Express, sur les données biométriques utilisées par Clearview AI.

L’application Clearview propose une base de données qui est déjà largement utilisée par les services d’ordre américains pour procéder à des contôles d’identité grâce à la reconnaissance faciale. Cette application qui n’est pas encore disponible en Europe, propose une base de données biométriques d’ordre international qui inquiète pour les menaces qu’elle représente pour notre vie privée.

Les données biométriques : des données sensibles

Alain Bensoussan, avocat spécialisé dans le droit numérique et les nouvelles technologies, s’exprime sur l’illégalité du traitement de données personnelles et de la technique utilisée : le « scraping« . Cette pratique consiste à récupérer automatiquement, à l’aide d’un programme, des données personnelles, en l’occurence des photographies de personnes et leur identité.

« Tout ce qui touche à la biométrie, c’est-à-dire à l’identification des personnes en fonction de leurs caractéristiques biologiques, physiques et comportementales est une pratique très encadrée ».

Mettre en ligne sur les réseaux sociaux des photos et les diffuser de manière publique ne signifie pas pour autant qu’elles soient entièrement libres de droits. La représentation d’une personne reste une donnée biométrique, personnelle et privée, et, à ces différents titres, protégée. Le fait que ces photos soient accessibles ne justifie pas qu’elles soient librement et légalement téléchargeables et réutilisables.

(1) « Vie privée : pourquoi l’application Clearview ne devrait pas arriver en France » par Manon Fossat, L’Express, 22-01-2020.




La Cnil et la reconnaissance faciale aux abords des lycées

reconnaissance faciale aux abords des lycéesAlain Bensoussan évoque pour Digital Mag la reconnaissance faciale aux abords des lycées et les précisions apportées par la Cnil.

Saisie d’une expérimentation prévoyant le recours à la reconnaissance faciale à l’entrée de deux lycées marseillais et niçois, la Cnil a considéré que « ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaissait ni nécessaire, ni proportionné pour atteindre ces finalités » (Séance plénière du 17 octobre 2019).

Reconnaissance faciale aux abords des lycées : les données sensibles d’un public… sensible

S’agissant de mineurs de plus de 15 ans, même si leur consentement était acquis, la question se pose d’un choix réel et non contraint. Par ailleurs, la sécurisation des données biométriques est toujours problématique et ce proportionnellement au risque important d’atteinte aux libertés individuelles des personnes concernées.

Après un examen attentif du projet, la Cnil a considéré que le dispositif projeté est contraire aux grands principes de proportionnalité et de minimisation des données posés par le RGPD (Règlement général sur la protection des données).

En effet, les objectifs de sécurisation et la fluidification des entrées dans ces lycées peuvent être atteints par des moyens bien moins intrusifs en termes de vie privée et de libertés individuelles, comme par exemple un contrôle par badge.

Les technologies de reconnaissance faciale présentent beaucoup d’intérêt en matière de sûreté et de sécurité, mais elles sont aussi porteuses d’un risque important d’atteinte aux libertés individuelles.

Ces technologies soulèvent encore de nombreuses questions non résolues. C’est pourquoi la Cnil a appelé à un débat démocratique sur ce sujet, ainsi que plus largement sur les nouveaux usages de la vidéo.

Isabelle Pottier
Avocat, Lexing Alain Bensoussan Avocats
Directeur du département Etudes et publications

Alain Bensoussan,  « Reconnaissance faciale aux abords des lycées, les précisions de la Cnil », DigitalMag n° 258 p.42-43 décembre 2019.




Reconnaissance vocale, nouveau mode d’authentification bancaire ?

Reconnaissance vocaleLa Cnil a autorisé la mise en œuvre de dispositifs d’authentification des clients par reconnaissance vocale.

Des autorisations ont été accordées à titre d’expérimentation à des établissements bancaires qui souhaitaient renforcer l’authentification de leurs clients dans deux situations :

  • lorsque le client procède à un paiement en ligne (1) ;
  • lorsque le client se connecte en ligne à son compte client (2) et (11).

Le renforcement de l’authentification

Ce nouveau dispositif est présenté par les établissements bancaires comme leur permettant de se prémunir contre la fraude, puisque le dispositif se fonde, à la fois, sur « l’authentification biométrique des clients » associée « à la saisie de leur identifiant » (3).

L’objectif est de pallier les lacunes que peuvent générer les mots de passe notamment en cas d’oubli, ou de perte du mot de passe par le client, en prévoyant une authentification sécurisée et simplifiée.

Ainsi, cette sécurisation passe, en particulier, par une authentification forte du client, qui consiste en :

« Une authentification reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories «connaissance» (quelque chose que seul l’utilisateur connaît), «possession» (quelque chose que seul l’utilisateur possède) et «inhérence» (quelque chose que l’utilisateur est) et indépendants en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification » (4).

L’authentification utilisée par les établissements bancaires repose ici principalement sur :

  • la catégorie « inhérence », en d’autres termes la voix de l’utilisateur ;
  • la catégorie « possession », le code que le client saisit sur son téléphone.

En pratique, comment ça marche ?

Deux cas de figure se présentent pour utiliser la reconnaissance vocale :

  • lorsque le client doit procéder au paiement sur un site de vente en ligne. Dans cette situation, le client reçoit un appel automatique sur son téléphone mobile et prononce alors une phrase d’authentification, déclenchant en conséquence, le remplissage automatique du formulaire de paiement par carte bancaire (le numéro de compte, le nom du client, la date de validité, et le cryptogramme composé des trois chiffres) ;
  • lorsque le client accède à son compte personnel bancaire. Le client reçoit un code d’activation qu’il saisit et prononce une phrase d’authentification.

Quelles sont les formalités préalables ?

Les données issues d’un dispositif de reconnaissance vocale sont des données biométriques qui se définissent comme :

« Des caractéristiques physiques ou biologiques permettant d’identifier une personne (ADN, contour de la main, empreintes digitales, etc.) » (5).

Les traitements de données biométriques sont soumis à une demande d’autorisation de la part du responsable de traitement à la Cnil (6).

Le règlement européen sur la protection des données (RGPD) entre en vigueur le 25 mai 2018 et c’est donc dès à présent que les responsables de traitement doivent envisager les changements induits par cette nouvelle réglementation.

Concernant la définition des données biométriques, la différence se note dans la précision de la définition, le concept de donnée biométrique étant défini comme :

« Des données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (7).

Le RGPD encadre davantage le cadre juridique applicable à ces données et interdit, par principe, le traitement « des données biométriques aux fins d’identifier une personne physique de manière unique ».

Cette interdiction ne s’applique pas si le consentement de la personne concernée a été recueilli (8), comme les établissements bancaires le font préalablement à toute mise en œuvre de traitement relatif à la reconnaissance vocale.

Le RGPD remet en cause le système des formalités préalables auprès des autorités de protection des données, puisqu’à partir du 25 mai 2018, les responsables de traitements en seront dispensés.

En revanche, il prévoit l’instauration d’un registre des catégories de traitement mis en œuvre qui doit être tenu à la fois par le responsable du traitement et par le sous-traitant (9).

En contrepartie de cette dispense des formalités déclaratives préalables, l’établissement bancaire devra en amont réaliser une analyse d’impact (10) qui consistera en une :

  • description des opérations de traitement envisagées, de ses finalités et de l’intérêt légitime poursuivi ;
  • évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités ;
  • évaluation des risques pour les droits et libertés des personnes concernées ;
  • description des mesures envisagées pour faire face aux risques (y compris les garanties, mesures de sécurité et mécanismes visant à assurer la protection des données à caractère personnel et à apporter la preuve de la conformité avec la réglementation).

Avertissement de la Cnil

La Cnil considère que ce type d’expérimentation, pour ce qui concerne l’authentification par reconnaissance vocale sur les services de banque à distance, constitue « une opportunité de tester le niveau global de risques en matière de sécurité et de confidentialité des données » (3).

Elle a considéré que dans le cadre des expérimentations qui lui ont été présentée. Toutefois, les mesures de sécurité étaient suffisantes, toutefois, elle rappelle que « cette obligation [de sécurité] nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques » (11).

On peut donc penser qu’en cas de pérennisation du projet, la Cnil se montrera particulièrement vigilante sur les mesures de sécurité prévues pour garantir la confidentialité et l’intégrité des données issues du dispositif de reconnaissance vocale. C’est, en tout cas, ce qu’elle laisse entendre lorsqu’elle met en garde les établissements bancaires contre le fait que « les conditions dans lesquelles ces expérimentations sont autorisées ne présage nullement de celles qui devraient être mises en œuvre en cas de pérennisation d’un tel dispositif » (11).

Frédéric Forster
Charlotte Le Fiblec
Lexing Constructeurs Informatique et Telecom

(1) Délib. Cnil 2016-037 du 18-2-2016 autorisant La Banque Postale à mettre en œuvre un système d’authentification des titulaires de cartes bancaires par reconnaissance vocale.
(2) Délib. Cnil 2017-133 du 27-4-2017 autorisant le Crédit du Nord à mettre en œuvre à titre expérimental un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur le serveur de son centre d’appels.
Délib. Cnil 2017-134 du 27-4-2017 autorisant la Banque Rhône-Alpes à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels
Délib. Cnil 2017-135 du 27-4-2017 autorisant la Banque Courtois à mettre en œuvre à titre expérimental un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.
Délib. Cnil 2017-136 du 27-4-2017 autorisant la Banque Tarneaud à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.
Délib. Cnil 2017-137 du 27-4-2017 autorisant la Banque Nuger à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels
Délib. Cnil 2017-138 du 27-4-2017 autorisant la Banque Kolb à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.
Délib. Cnil 2017-139 du 27-4-2017 autorisant la Banque Laydernier à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.
Délib. Cnil 2017-140 du 27-4-2017 autorisant la Société Marseillaise de Crédit à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients collaborateurs par reconnaissance vocale sur un serveur de centre d’appels.
(3) « La CNIL autorise l’expérimentation de dispositifs biométriques de reconnaissance vocale par des établissements bancaires« , Cnil.fr 29-5-2017.
(4) Règl. UE 910-2014 du 23-7-2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.
(5) Données biométriques : définition disponible sur le site de la Cnil.
(6) Loi informatique et libertés, art. 25.
(7) Règl. UE 2016/679 du 27-4- 2016, art. 4, 14°.
(8) Règl. UE 2016/679 du 27-4- 2016, art. 9, 1°.
(9) Règl. UE 2016/679 du 27-4- 2016, art. 30.
(10) Règl. UE 2016/679 du 27-4- 2016, art. 35.
(11) Délib. Cnil 2017-141 du 27-4-2017 autorisant la société BPCE à mettre en œuvre à titre expérimental, pour une durée de 12 mois, un système d’authentification de ses clients par reconnaissance vocale sur les services de banque à distance.




La SNCF expérimente l’analyse comportementale

La SNCF expérimente l’analyse comportementaleLa SNCF expérimente l’analyse comportementale via les caméras installées dans ses gares et ses trains. En collaboration avec la société Thalès, la SNCF a, en effet, lancé ce projet d’expérimentation en 2015 afin de faire face aux risques imminents d’actes terroristes.

La SNCF expérimente l’analyse comportementale dans ses gares et trains

Les caméras de surveillance installées dans ses gares et ses trains seront désormais équipées de logiciels d’analyse qui permettront d’identifier les comportements anormaux des usagers et des personnes circulant dans ses gares ou aux abords de ceux-ci.

A ces logiciels d’analyse, s’ajoutent d’autres dispositifs également en cours de tests, tels que des détecteurs de colis suspects, des caméras portatives détenus par des agents de sécurité, ainsi qu’une application smartphone permettant aux voyageurs de lancer l’alerte à partir de leurs téléphones en cas de comportements suspects.

La SNCF expérimente l’analyse comportementale de nos faits et gestes

Ces logiciels d’analyse ont vocation à recueillir un certain nombre de données qui pourront être analysées en temps réel et faire l’objet d’une alerte, le cas échéant, auprès des autorités compétentes.

Ces données pourront notamment porter sur des changements de température corporelle, des haussements de voix, des gestes saccadés, etc.

Actuellement en cours d’expérimentation par la SNCF, ces logiciels d’analyse devraient être amenés à être généralisés.

La SNCF expérimente l’analyse comportementale : l’enjeu des données personnelles

La position de la CNIL semble claire sur ce sujet puisqu’elle considère que :

« Il ne s’agit plus seulement aujourd’hui d’opérer le simple comptage du nombre de passagers ou de détecter automatiquement un objet abandonné, mais bien de permettre la détection automatisée de « comportements suspects ».

Ainsi, avant toute possible généralisation de ces logiciels à l’issue de leur expérimentation par la SNCF, il est fort à parier que la CNIL, du fait de sa compétence particulière en matière de vidéo-protection, leur portera une attention toute particulière et opèrera un contrôle très strict de leur conformité aux dispositions de la loi Informatique et libertés et du règlement européen qui entrera en application le 24 mai 2018.

En effet, même si les caméras existent déjà, leur nouvelle finalité, tirée de l’implémentation en leur sein de logiciels d’analyse comportementale, devrait nécessiter la mise en œuvre d’un nouveau contrôle par la CNIL, notamment sur :

  • l’obligation d’informer les usagers et leurs personnels sur l’existence de ces logiciels
  • les modalités de mise en œuvre de leurs droits d’accès, de modification, et de suppression des données les concernant recueillies par lesdits logiciels,

comme cela avait déjà été fait s’agissant des caméras portatives détenus par des agents de sécurité, dans le cadre de la délibération n°2016-387 du 8 décembre 2016 (1), adoptée par la CNIL, portant avis sur un projet de décret en Conseil d’Etat (décret adopté le 23 décembre 2016 (2)) portant application de l’article L.2251-4-1 du Code des transports et relatifs aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la RATP.

Cette délibération fait suite à celle du 29 septembre 2016 (3) autorisant la mise en œuvre par la société Thales Services d’un traitement automatisé de données à caractère personnel dans le cadre de recherches sur le développement et l’amélioration des algorithmes de reconnaissance faciale.

Marie-Adélaïde de Montlivault-Jacquot
Alexandra Massaux
Lexing Contentieux informatique

(1) Délib. 2016-387 du 8-12-2016 portant avis sur un projet de décret en Conseil d’Etat portant application de l’article L. 2251-4-1 du code des transports et relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la RATP
(2) Décr. 2016-1862 du 23-12-2016 relatif aux conditions de l’expérimentation de l’usage de caméras individuelles par les agents des services internes de sécurité de la SNCF et de la Régie autonome des transports parisiens
(3) Délib. 2016-296 du 29-9-2016 autorisant la société Thales services à mettre en œuvre un traitement automatisé de données à caractère personnel dans le cadre de recherches sur le développement et l’amélioration des algorithmes de reconnaissance faciale.




Le règlement 2016-679 et les technologies : la biométrie

Le règlement 2016-679 et les technologies : la biométrieLe règlement 2016/679 définit les données de biométrie comme des données résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique.

Les données de biométrie sont des données particulières

Le règlement européen qualifie la biométrie et les données de biométrie comme des catégories particulières de données qui sont par nature particulièrement sensibles du point de vue des libertés et des droits fondamentaux et méritent une protection spécifique.

Toutefois, le règlement ne vise les données biométriques dans les catégories particulières de données que pour autant qu’elles ont pour finalité d’« identifier une personne physique de manière unique ». Les données biométriques qui ne permettraient pas d’identifier de manière unique une personne ne devraient pas relever de la catégorie particulière des données biométriques.

L’idée est séduisante, toutefois, il convient de remarquer que cette distinction entre identification et authentification figure d’une certaine façon dans la loi informatique et libertés.

En effet, l’article 25, I, alinéa 8 de la loi n°78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés dispose :

  • « Sont mis en œuvre après autorisation de la Commission nationale de l’informatique et des libertés, […] 8° Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ».

et l’article 27 1 2°précise que :

  • « Les traitements de données à caractère personnel mis en œuvre pour le compte de l’État qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ».

S’agissant des traitements biométriques mis en œuvre par une personne relevant du droit privé, l’article 25 ne vise que la biométrie nécessaire à des fins de contrôle de l’identité des personnes à l’exclusion des traitements mis en œuvre à des fins d’authentification.

Sur la base du principe d’interprétation stricte de la loi pénale et de la distinction opérée au sein de ces deux articles, la biométrie devrait relever d’un simple régime de déclaration dans la mesure où, s’il y a authentification, alors il n’y a pas de contrôle d’identité.

Néanmoins, la Cnil, n’admet pas cette interprétation. Dès lors, il sera intéressant de suivre la position des autorités de contrôle sur ce sujet.

Un principe d’interdiction sauf autorisation spécifique

En tout état de cause, le règlement pose le principe d’interdiction du traitement de données biométriques à moins que celui-ci ne soit autorisé dans des cas spécifiques qu’il prévoit, compte tenu du fait que le droit d’un État membre peut prévoir des dispositions spécifiques relatives à la protection des données visant à adapter l’application des règles du règlement en vue de respecter une obligation légale ou pour l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement.

En outre, le règlement précise que les États membres devraient être autorisés à maintenir ou à introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données biométriques à la condition toutefois, que ces conditions ou limitations n’entravent pas le libre flux des données à caractère personnel au sein de l’Union lorsque ces conditions s’appliquent au traitement transfrontalier de ces données.

A cet égard, il est fort à parier concernant la biométrie que des propositions seront faites en ce sens, comme par le passé, et notamment avec l’amendement au projet de loi pour la République numérique de Gaëtan Gorce, non retenu par la Commission Mixte Paritaire.

Céline Avignon
Lexing Publicité et marketing électronique




Pas de restriction supplémentaire à un usage de la biométrie

Pas de restriction supplémentaire à un usage de la biométrieL’ usage de la biométrie ne devrait finalement pas être restreint aux cas de nécessité stricte de sécurité. C’était pourtant l’objet d’un amendement proposé par le Sénat dans le projet de loi pour une République numérique.

Des dispositifs encadrés

A ce jour, l’article 25 I 8° de la loi Informatique et libertés impose au responsable de traitement d’obtenir une autorisation de la Commission nationale de l’informatique et des libertés (Cnil) pour la mise en place de « traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ».

Si la Cnil porte une attention particulière aux impératifs de sécurité qui président à la mise en place de dispositifs biométriques, les finalités pour lesquelles la biométrie peut être utilisée ne sont pas limitées dans la loi Informatique et libertés.

La Cnil a ainsi autorisé l’ usage de la biométrie :

  • dans le cadre d’un système d’authentification des titulaires de cartes bancaires (1) ;
  • pour le contrôle d’accès aux locaux professionnels (2) et la restauration sur les lieux de travail (3) ;
  • pour le contrôle de l’accès aux postes informatiques portables professionnels (4).
Une proposition de limitation des finalités autorisées

Afin de restreindre les cas dans lesquels l’ usage de la biométrie pourrait être autorisé, le Sénat avait adopté le 27 mai 2014 une proposition de loi visant à limiter l’usage des techniques biométriques.

Déposé à l’initiative de M. Gaëtan Gorce, membre de la Cnil depuis 2011, le texte proposait que seuls « les traitements dont la finalité est la protection de l’intégrité physique des personnes, la protection des biens ou la protection d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible et qui répondent à une nécessité excédant l’intérêt propre de l’organisme les mettant en œuvre » puissent être autorisés par la Cnil (5).

Le texte visait ainsi à limiter l’ usage de la biométrie à trois finalités, à savoir :

  • la protection de l’intégrité physique des personnes ;
  • la protection des biens ;
  • la protection d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible.

Le dispositif biométrique devait en outre répondre à une nécessité excédant l’intérêt propre de l’organisme souhaitant le mettre en œuvre. Un délai transitoire de 3 ans était prévu.

Un refus d’inscrire dans la loi une limitation à l’ usage de la biométrie

N’ayant pas encore été examinée par l’Assemblée nationale, la proposition de loi visant à limiter l’usage des technologies biométriques a finalement été introduite sous forme d’amendement dans le projet de loi pour une République numérique (article 34 bis nouveau), à l’occasion de l’examen du texte par les sénateurs début 2016.

La Commission mixte paritaire, chargée de trouver un compromis entre les propositions de l’Assemblée nationale et celles du Sénat, a toutefois mis fin à la progression de la proposition de loi.

Lors des discussions autour du projet de loi pour une République numérique, elle a en effet choisi de ne pas limiter d’avantage l’ usage de la biométrie, en retirant les dispositions proposées à l’article 34 bis.

Si le texte de compromis est approuvé en l’état par l’Assemblée nationale et par le Sénat, les finalités pour lesquelles les organismes pourront recourir à la biométrie ne devraient donc pas être inscrites de manière limitative dans le texte de loi.

Notre conseil

Si ce résultat offre plus de flexibilité à la Cnil pour choisir les cas dans lesquels elle souhaite autoriser ou non l’ usage de la biométrie, il ne faut pas perdre de vue que ces cas restent limités dans les faits.

Pour améliorer leurs chances de succès auprès de la Cnil, les organismes doivent ainsi présenter des dossiers argumentés de demande d’autorisation, faisant ressortir en particulier :

  • la finalité déterminée, explicite et légitime, pour laquelle le dispositif biométrique est envisagé ;
  • la manière dont les risques en matière de protection des données sont pris en compte et les garanties qui sont apportées ;
  • les mesures de sécurité mises en place.

Alain Bensoussan Avocats
Lexing Informatique et libertés

(1) Voir notre article du 15-4-2016 « La biométrie prête sa voix pour sécuriser les transactions » ;
(2) Voir par exemple Délib. Cnil 2015-363 du 15-10-2015.
(3) Délib. Cnil 2012-322 du 20-9-2012 (autorisation unique AU-007)
(4) Délib. Cnil 2011-074 du 10-3-2011 (autorisation unique AU-027)
(5) La proposition de loi initialement déposée visait « les traitements justifiés par une stricte nécessité de sécurité ». Cette notion a été précisée dans la rédaction finale du texte adopté par le Sénat.




La biométrie prête sa voix pour sécuriser les transactions

biometric screening eye©santiago silver_FotoliaLes techniques de biométrie sont de plus en plus utilisées dans le monde comme moyens de sécurisation de transactions.

La biométrie s’intègre parfois dans les cartes bancaires (empreinte digitale), dans les distributeurs de billets (reconnaissance faciale) ou encore peut être utilisée en lien avec un service de paiement mobile ou par internet, comme la Cnil vient pour la première fois de l’autoriser en France.

En effet, la loi Informatique et libertés soumet à autorisation de la Cnil les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes (1).

Phase expérimentale

Au cours des dernières années, la Cnil a été saisie de plusieurs autorisations portant sur des systèmes d’authentification des auteurs de transactions bancaires au moyen de la biométrie, notamment vocale.

Jusqu’en février 2016, les autorisations délivrées par la Cnil ne portaient toutefois que sur des traitements mis en œuvre à titre expérimental. La durée de ces expérimentations variait entre 3 et 15 mois et ces dernières pouvaient concerner jusqu’à plusieurs milliers d’individus, salariés et/ou clients de la société responsable du traitement.

D’une manière générale, la phase d’expérimentation permet au responsable de traitement d’évaluer :

  • la faisabilité du traitement ;
  • la qualité de la technique de biométrie vocale utilisée (ex : mesure des faux positifs et faux négatifs) ;
  • la facilité d’utilisation du service envisagé (ex : ergonomie du service, temps moyen d’authentification).

Phase de généralisation

Les résultats des expérimentations menées par une banque se sont visiblement révélés positifs puisque la Cnil vient de l’autoriser à généraliser un système d’authentification des porteurs de cartes bancaires par reconnaissance vocale (2).

Une phase d’expérimentation d’une durée totale de 2 ans a en effet permis à cette banque de confirmer l’appétence du public pour ce type de service (fluidité des parcours, sentiment de sécurité), en relevant un taux de satisfaction de 86%.

Une authentification forte

La Commission se montre ainsi favorable à l’utilisation de la biométrie dans le cadre de la sécurisation du paiement à distance. Elle observe à ce titre que la mise en place d’une authentification forte des clients souhaitant régler des transactions en ligne, reposant sur l’utilisation de plusieurs éléments d’authentification, répond à un phénomène de fraude aux paiements à distance en constante augmentation.

En l’espèce, la méthode d’authentification choisie s’appuie sur deux éléments d’authentification : la réception d’un appel sur un téléphone préalablement enrôlé (« ce que je possède ») et la reconnaissance de la voix (« ce que je suis ») (3). Ainsi, le dispositif biométrique n’a pas vocation à fournir un moyen d’authentification autonome. Il vient renforcer un dispositif existant qui s’appuie sur la possession d’un objet, à savoir le téléphone portable de la personne concernée.

Une méthode d’authentification proposée et non imposée

Conformément à l’article 7 de la loi Informatique et libertés (4), le traitement de reconnaissance vocale autorisé par la Cnil s’appuie sur le consentement spécifique, libre et éclairé des personnes concernées.

La méthode d’authentification est ainsi proposée aux clients de la banque en tant qu’alternative à l’authentification par saisie d’un code à usage unique, le client pouvant à tout moment revenir sur son choix.

Technique biométrique utilisée

La technique de reconnaissance vocale utilisée se base sur la modélisation physique des caractéristiques du conduit vocal de la personne concernée. Un modèle de voix non réversible est alors constitué.

En effet, le modèle ne constitue pas un enregistrement de la voix de la personne concernée. Il reproduit une distribution de probabilités de plusieurs caractéristiques de la voix du client. Les caractéristiques biométriques du client ne pourront donc pas être reconstituées à partir du modèle.

Etude d’impact

Dans les différentes autorisations expérimentales délivrées par la Cnil, la Commission a exigé de chaque responsable de traitement qu’il communique un bilan des modalités de fonctionnement et d’utilisation du dispositif au terme de la phase d’expérimentation.

Notamment, une présentation des enjeux spécifiques relatifs à la protection des données doit être envoyée à la Cnil, incluant les risques identifiés et les mesures adoptées pour les limiter, ainsi qu’une synthèse relative au respect des dispositions de la loi Informatique et libertés.

La banque dont le traitement vient d’être autorisé a ainsi réalisé une étude d’impact à l’issue de ses expérimentations. La Cnil a alors pu relever que « les mesures techniques adoptées [avaient] permis de réduire à un niveau de vraisemblance et de gravité faible les impacts résultant notamment des risques de fuites ou de pertes des données, d’indisponibilité du dispositif ou d’usurpation d’identité ».

Cette démarche apparaît en accord avec l’approche par les risques proposée au niveau européen dans la proposition de règlement général sur la protection des données. Elle permet notamment d’anticiper l’obligation pour les responsables de traitement de réaliser des analyses d’impact relatives à la protection des données, en particulier en cas de traitement à grande échelle de données biométriques.

Pour conclure, les sociétés souhaitant mettre en place des systèmes d’authentification d’auteurs de transactions bancaires au moyen de la biométrie sont invitées à réaliser des analyses de l’impact de leur traitement sur la protection des données et à déposer auprès de la Cnil un dossier de demande d’autorisation.

Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1) Loi 78-17 du 6-1-1978, art. 25-I-8°.
(2) Cnil, Délib. 2016-037 du 18-2-2016.
(3) Une troisième catégorie regroupe les éléments que la personne connaît, tels que par exemple un mot de passe.
(4) Loi 78-17 du 6-1-1978, art. 7.




Point sur le périmètre autorisé de la biométrie au travail

Point sur le périmètre autorisé de la biométrie au travailLa Cnil a publié plusieurs décisions sur l’usage de la biométrie dans le milieu du travail durant l’année 2015.

C’est l’occasion de revenir sur le périmètre autorisé de cet usage. Parce qu’elle permet l’identification d’une personne par ses caractéristiques physiques, biologiques voire comportementales, la biométrie est considérée comme une technologie particulièrement sensible au regard de la règlementation Informatique et libertés et son usage est soumis à une autorisation préalable de la Cnil.

Finalités autorisées par la Cnil – Concernant l’utilisation de la biométrie sur les lieux de travail, la Cnil a défini dans plusieurs autorisations uniques (1) les finalités pour lesquelles elle autorisait le recours à cette technologie. Il s’agit :

  • des traitements mis en œuvre par des organismes privés ou publics reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la restauration sur les lieux de travail (Autorisation unique n° AU-007) ;
  • des dispositifs biométriques mis en œuvre par des organismes privés ou publics reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail (Autorisation unique n° AU-008) ;
  • des traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire, mis en œuvre par des établissements publics locaux d’enseignement du second degré et des établissements privés d’enseignement du second degré (Autorisation unique n° AU-009).

Dans quatre décisions rendues le 15 octobre 2015 (2), la Cnil a autorisé la mise en place de dispositifs biométriques à des fins de contrôle de l’accès aux locaux professionnels identifiés comme sensibles, validant à nouveau le principe du recours à la biométrie pour cette finalité.

Finalités rejetées par la Cnil – En revanche, dans cinq décisions rendues entre mars et juin 2015 (3), la Cnil a refusé d’autoriser la mise en place de dispositifs biométriques à des fins de suivi et de contrôle des horaires des salariés.

Historiquement, le champ d’application de l’autorisation unique n° AU-007 couvrait pourtant la gestion des horaires du personnel. En 2012, cette finalité a toutefois été exclue, la Cnil considérant désormais la biométrie comme un moyen disproportionné d’atteindre une finalité de contrôle des horaires.

Saisie de demandes d’autorisation par des entreprises souhaitant utiliser la biométrie à des fins de suivi et contrôle des horaires, la Cnil a eu l’occasion de réaffirmer sa position à plusieurs reprises en 2013, en 2014 et également en 2015.

Dans les cinq délibérations précitées, la Cnil a indiqué que toute demande d’autorisation pour l’installation d’un dispositif biométrique devait « s’inscrire dans le cadre de circonstances exceptionnelles fondées sur un impératif spécifique de sécurité (…) qui seraient susceptibles de justifier, notamment, la proportionnalité du recours à un dispositif biométrique ».

La simplification de l’identification du collaborateur, la possibilité de palier aux oublis et pertes de badges, la vérification de l’identité du collaborateur ayant pointé ou la possibilité de minimiser les risques d’erreur notamment sont autant de raisons refusées par la Cnil pour justifier le recours à la biométrie sur les lieux de travail.

Techniques biométriques – Dans les décisions de 2015 rendues à propos du suivi et contrôle des horaires des salariés, les dispositifs envisagés étaient basés sur la reconnaissance du contour de la main ou celle des empreintes digitales des salariés.

Dès lors que la finalité revendiquée apparaissait disproportionnée aux yeux de la Cnil, peu importait que le système utilisé soit :

  • un dispositif “à trace” tel que la reconnaissance de l’empreinte digitale ou ;
  • un dispositif sans trace tel que la reconnaissance du contour de la main, ces dispositifs présentant pourtant des risques moindres en termes d’usurpation d’identité, dans la mesure où les caractéristiques biométriques utilisées peuvent plus difficilement être capturées à l’insu d’une personne.

En revanche, dans les quatre décisions rendues le 15 octobre 2015, la Cnil a autorisé la mise en place de dispositifs biométriques multimodaux à des fins de contrôle de l’accès aux locaux professionnels. La particularité des dispositifs présentés résidait dans le recours à des dispositifs biométriques bimodaux, fondés à la fois sur la reconnaissance de l’empreinte digitale et du réseau veineux d’un individu et permettant ainsi d’améliorer les performances du dispositif.

Synthèse – En dehors des finalités de contrôle d’accès aux locaux et à la restauration validés par la Cnil notamment dans le cadre de ses autorisations uniques, l’installation de dispositifs biométriques sur les lieux de travail doit répondre à un impératif spécifique de sécurité.

La démonstration des circonstances exceptionnelles justifiant le recours à la biométrie pourrait alors passer par la réalisation d’une analyse d’impact justifiant le recours à cette technologie en réponse à un risque particulier qui aurait été identifié.

La technique biométrique utilisée et son niveau de performance pourront alors être mis en avant afin de justifier la proportionnalité du recours à cette technologie.

Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1) Afin de simplifier les formalités préalables pour les responsables de traitement, la Cnil a adopté plusieurs autorisations uniques, décrivant chacune des traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires. Un organisme souhaitant mettre en place un dispositif biométrique qui serait couvert en tous points par l’une des autorisations uniques de la Cnil n’a alors qu’à adresser à la Cnil un engagement de conformité à cette autorisation unique. En revanche, si le dispositif envisagé n’est pas couvert par une autorisation unique, le responsable du traitement doit adresser à la Cnil une demande d’autorisation spécifique décrivant le dispositif en cause.
(2) Délib. 2015-363 du 15-10-2015 ; Délib. 2015-361 du 15-10-2015 ; Délib. 2015-362 du 15-10-2015 ; Délib. 2015-360 du 15-10-2015.
(3) Délib. 2015-176 du 11-6-2015 ; Délib. 2015-141 du 7-5-2015 ; Délib. 2015-140 du 7-5-2015 ; Délib. 2015-087 du 5-3-2015 ; Délib. 2015-088 du 5-3-2015.




L’utilisation des données biométriques contenues dans les passeports

L’utilisation des données biométriques contenues dans les passeportsDans un arrêt du 16 avril 2015, la Cour de Justice de l’Union Européenne a laissé entendre que les données biométriques contenues dans les passeports délivrés par les Etats-membres pourront être utilisées ou conservées à des fins autres que la délivrance du passeport (1).

Depuis quelques années la plupart les états européens intègrent des données biométriques sur la puce électronique des passeports, telles que la photographie numérisée du visage ou les empreintes digitales.

Le règlement (CE) n° 2252/2004 du Conseil européen impose, en effet, depuis le 13 décembre 2004, le prélèvement des empreintes digitales de toute personne demandant un passeport sur le territoire de l’Union Européenne.

Or, les données personnelles contenues dans un passeport biométrique sont des données sensibles, susceptibles de porter atteinte à la vie privée et à la protection des données à caractère personnel. La collecte de ces données permet pourtant de mieux lutter contre la fraude et l’usurpation d’identité.

Dans les affaires en cause, les requérants posaient une question préjudicielle à la Cour de Justice de l’Union Européenne portant sur le refus de délivrance par les autorités néerlandaises d’un passeport et d’une carte d’identité au prétexte que leurs données biométriques n’avaient pas pu être relevées.

Dans la première affaire, deux ressortissants contestaient le refus de délivrance d’un passeport au motif que ces derniers avaient refusé de fournir leurs empreintes digitales au moment de la délivrance du document.

Dans la seconde affaire était contesté le refus de délivrance d’une carte d’identité au motif que le requérant avait refusé de fournir ses empreintes digitales et sa photographie faciale.

Au soutien de leur demande, les requérants indiquaient que la saisie et la conservation des données constituaient une atteinte à leur intégrité physique et à leur droit à une protection à la vie privée.

En effet, lors de la fabrication des passeports les Pays-Bas conservent les données collectées dans une base de données. Les requérants considéraient cette opération contraire aux dispositions du règlement du 13 décembre 2004, qui prévoit à l’article 4 que « les éléments biométriques des passeports et des documents de voyage ne sont utilisés que pour vérifier l’authenticité du document et l’identité du titulaire ». Ces derniers craignaient que ces données sensibles soient utilisées à d’autres fins que la fabrication des documents d’identité, notamment, à des fins judiciaires ou qu’elles soient utilisées par les services de renseignement et de sécurité.

Dans la première affaire, la Cour a considéré que les cartes d’identité étaient exclues du champ d’application du règlement et que la question relevait par conséquent, de la législation nationale.

Dans la seconde affaire, la Cour a considéré que l’article 4 du règlement n’oblige pas les États membres à garantir, dans leur législation, que les données biométriques rassemblées et conservées ne seront pas traitées à des fins autres que la délivrance du passeport, un tel aspect ne relevant pas du champ d’application dudit règlement.

C’est ainsi que la Cour a considéré que cet article ne fait pas obstacle à ce que les données soient utilisées pour alimenter une base de données utilisée pour la fabrication des passeports.

En France, la Commission nationale de l’informatique et des libertés porte une attention particulière aux conditions d’utilisation et de conservation des données biométriques collectées dans le cadre des demandes de délivrance de passeport et s’assure que celles-ci ne soient pas utilisées à d’autre fins comme par exemple, à des fins d’enquête policière.

Virginie Bensoussan-Brulé
Caroline Gilles
Lexing Droit Vie privée et Presse numérique

(1) CJUE 16 04 2015 C-446-12, Aff. jointes C-446/12 à C-449/12.




Annulation partielle du décret sur le passeport biométrique

décret sur le passeport biométriqueLe Conseil d’Etat annule partiellement le décret sur le passeport biométrique par une décision rendue le 26 octobre 2011. Il annule partiellement le décret n° 2008-426 du 30 avril 2008 modifiant le décret n° 2005-1726 du 30 décembre 2005 relatif aux passeports électroniques.

Le décret sur le passeport biométrique

Plusieurs recours pour excès de pouvoir avaient été intentés par des personnes titulaires de passeports français, par des associations de défense, ainsi que par des professionnels du domaine de la photographie.

Le Conseil d’Etat a annulé la disposition prévoyant la collecte et la conservation des empreintes digitales ne figurant pas dans le composant électronique du passeport et destinée à figurer au sein du fichier national relatif aux titres électroniques sécurisés (TES).

Pour mémoire, le règlement n° 2252/2004 du 13 décembre 2004 prévoyait notamment que les passeports et documents de voyage délivrés par les Etats membres devaient comporter un support de stockage contenant deux éléments biométriques, à savoir une photographie du visage et deux empreintes digitales.

Pour justifier sa décision, le Conseil d’Etat a considéré que la collecte et la conservation d’un plus grand nombre d’empreintes digitales que celles figurant dans le composant électronique ne sont ni adéquates, ni pertinentes et apparaissent excessives au regard des finalités du traitement.

Toutes les autres dispositions du décret attaqué ont été maintenues par le Conseil d’Etat et notamment celle prévoyant la possibilité pour l’administration de procéder à la prise de photographies lorsque celles fournies par le demandeur ne répondent pas aux exigences de qualité requises.

CE 26-10-2011 n° 317827




Aspects juridiques de la biométrie

Dans son rendez-vous bimestriel accordé à MyDSI-Tv, Maître Alain Bensoussan, présente les aspects juridiques de la biométrie de sécurité.

Qu’il s’agisse de la biométrie de sécurité à usage professionnel ou de confort, la biométrie, technologie nouvelle, est déjà régulée par le droit…

Emission du 30-9-2011, MyDSI-Tv, le média des DSI créé par Accenture.




Essonne : des mesures d’urgence pour le passeport biométrique

Essonne : des mesures d'urgence pour le passeport biométriquePasseports biométriques : deux mesures d’urgence pour le département de l’Essonne.

Au jeu des questions adressées au gouvernement, Laurent Béteille, Sénateur de l’Essonne, a interrogé le ministre de l’Intérieur, de l’Outre-Mer et des collectivité territoriales sur les difficultés rencontrées par certaines mairies dans le traitement des demandes de passeports biométriques. Un premier constat met l’accent sur des délais d’instruction plus importants que par le passé (20 minutes au lieu de 10) avec également des problèmes de matériel qui augmentent ainsi le rejet des dossiers. Le gouvernement considère néanmoins que le nouveau dispositif permet, dans sa grande majorité, de respecter les délais prescrits et précise qu’il n’est plus nécessaire désormais d’acheminer par courrier les dossiers de demande de passeport en préfecture grâce au lien télématique entre la mairie et la préfecture. Il rappelle également que l’usager n’est plus lié à sa commune de résidence ou à son département.

Toutefois, des difficultés localisées, notamment sur l’Essonne et amplifiées par les départs en vacances ont conduit le gouvernement à prendre deux mesures urgentes. La première, une enveloppe spécifique a été allouée pour permettre aux préfectures en difficulté de renforcer leur personnel (recourir à des vacataires ou rémunérer des heures supplémentaires). La seconde, des formations techniques des personnels municipaux ont été effectuées sur place et dans chaque mairie de l’Essonne pour réduire les délais de constitution des dossiers.

Réponse du Secrétariat d’État à l’intérieur et aux collectivités territoriales, JO Sénat du 10-07-2009

(Mise en ligne Juillet 2009)

Autres brèves

 

 

 

(Mise en ligne Mai 2009)

 

 

(Mise en ligne Janvier 2009)

 

 

(Mise en ligne Novembre 2008)

 

 

(Mise en ligne Avril 2008)

 

 

(Mise en ligne Mars 2006)

 

 

(Mise en ligne Décembre 2005)




Autorisations uniques et techniques biométriques

Autorisations uniques en biométrieLa Cnil adopte trois autorisations uniques relatives aux techniques biométriques. L’article 25 de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée en 2004 prévoit que les traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes doivent être autorisés par la Cnil préalablement à leur mise en œuvre.

En application de cet article, la Cnil a d’ores et déjà autorisé plusieurs traitements de données biométriques lorsque les conditions dans lesquelles ils étaient opérés ne présentaient pas de risque particulier au regard de la protection des données à caractère personnel.

Ces autorisations portaient sur la mise en place de systèmes de reconnaissance du contour de la main pour permettre les contrôles d’accès, la gestion des horaires et la restauration sur les lieux de travail d’une part et l’accès aux restaurants scolaires d’autre part. Considérant que ce type de traitements ne comporte pas de risque particulier dans la mesure où ces données biométriques ne laissent pas de traces susceptibles d’être collectées à l’insu des personnes concernés, la Cnil a adopté deux autorisations uniques posant les conditions que doivent respecter les responsables de traitement pour pouvoir bénéficier du régime de déclaration de conformité à la Cnil.

Ce régime particulier les exonère de l’obligation d’obtenir l’autorisation préalable de la Cnil à la mise en œuvre de traitements de données biométriques similaires à ceux décrits dans les autorisations uniques. La troisième autorisation unique prise par la Cnil vise les systèmes de reconnaissance par empreintes digitales lorsque ces données sont exclusivement enregistrées dans un support individuel (une carte à puce) dont la personne concernée a le contrôle exclusif.

Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements pourront opérer leur déclaration de conformité en remplissant une déclaration accessible sur le site www.cnil.fr.

Autorisation unique n°AU-007 Délibération n°2006-101 de la Cnil du 27 avril 2006
Autorisation unique n°AU-008 Délibération n°2006-102 de la Cnil du 27 avril 2006
Autorisation unique n°AU-009 Délibération n°2006-103 de la Cnil du 27 avril 2006

(Mise en ligne Avril 2006)