Actualités

01netPro

Les règles d'usage de la biométrie en entreprise

Parmi les dispositifs utilisant l'empreinte digitale, le contour de la main ou la reconnaissance de la rétine, on distingue les systèmes “ sans trace ” et “ à trace ”, aux conditions d'emploi strictement encadrées.

Alain Bensoussan

01 Informatique

le 16/02/2007 à 00h00

envoyer
par mail

imprimer
l'article

Les conditions de mise en œuvre

D'une manière générale, la Cnil (Commission nationale de l'informatique et des libertés) n'autorise que les dispositifs selon lesquels les données biométriques, telles les empreintes digitales, sont enregistrées exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base de données centralisée. La Cnil distingue trois cas spécifiques : lorsque les dispositifs de reconnaissance du contour de la main servent au contrôle d'accès ainsi qu'à la gestion des horaires et de la restauration sur les lieux de travail ; lorsque ces dispositifs constituent un moyen d'accès aux restaurants scolaires ; et lorsque les supports individuels sur lesquels sont conservées les données restent placés sous le contrôle exclusif de la personne concernée. Dans ces trois cas de figure, la Cnil a prévu des formalités allégées, baptisées “ autorisations uniques ”⁽¹⁾, sortes de décisions cadres autorisant les responsables des traitements à opérer une déclaration de conformité. Mais il faut que les traitements répondent en tout point aux finalités, caractéristiques techniques, données traitées, durée de conservation des données, moyens de sécurité et droits des personnes concernées définis par la Cnil.

L'importance des techniques utilisées

La Cnil a toujours considéré que les dispositifs dits “ sans trace ” - qui reposent essentiellement sur l'utilisation de techniques de reconnaissance de la rétine⁽²⁾ ou du contour de la main - ne permettent pas d'identifier un individu à son insu, en collectant ses données biométriques sans qu'il s'en aperçoive. Et comme il ne s'agit pas pour la Commission de traitements de données biométriques dangereux, elle autorise en général leur mise en œuvre. A l'opposé, elle juge que les dispositifs dits “ à trace ”, en particulier ceux utilisant la reconnaissance par empreinte digitale, s'avèrent dangereux, car ils donnent la possibilité de collecter les données biométriques d'une personne à son insu. La Cnil autorise ces derniers lorsqu'il existe un impératif fort de sécurité (le contrôle aux frontières, par exemple), mais également dans des cas comme l'accès de salariés à des locaux sécurisés. Enfin, elle les autorise lorsque les données sont stockées sur un support individuel (de type carte à puce).

(1) Autorisations uniques, n AU-007 à 009, Délib. Cnil n 2006-101 à 103 du 27/04/2006.
(2) Communiqué de la Cnil du 05/1/2007.

Les faits saillants : l'autorisation préalable de la Cnil est nécessaire

Les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes doivent être autorisés par la Cnil préalablement à leur mise en œuvre (art. 25 de la loi 78-17 du 6 janvier 1978, modifiée en 2004). Le non-accomplissement des formalités auprès de la Commission est passible de cinq années d'emprisonnement et de 300 000 euros d'amende.

La tendance : pas d'agrément a priori pour les dispositifs

La sécurité représente un marché en plein essor, sur lequel de nombreux éditeurs de solutions se sont engouffrés en proposant aux entreprises des dispositifs de reconnaissance des empreintes digitales. Face à ce développement, la Cnil a tenu à effectuer une mise au point : aucun dispositif biométrique n'a fait l'objet d'un “ label Cnil ” ou d'un agrément a priori.

À retenir

Si le traitement se montre conforme à l'une des décisions cadres (“ autorisations uniques ”), établies par la Cnil, une simple déclaration de conformité suffit. Cette démarche peut être réalisée en ligne sur le site de la Commission (www.cnil.fr).
Le responsable de traitement de données biométriques doit permettre aux personnes concernées par des informations qu'il détient d'exercer pleinement leurs droits. Et ces personnes doivent être informées individuellement lors de la mise en place du dispositif.
S'agissant d'outils de contrôle, la mise en place de dispositifs de type biométrique fait également l'objet d'une procédure d'information et de consultation du comité d'entreprise, au titre de l'article L. 432-2 du code du travail.