Fiche pratique

Définitions et enjeux

1. Exemples d’applications biométriques

Divers procédés biométriques existent à ce jour. On distingue :

• Les dispositifs biométriques "à traces" : les empreintes digitales et palmaires. On les appelle "à traces" car les personnes les laissent à leur insu sur tous les objets qu’elles touchent. Le risque de ces techniques réside dans le fait que ces traces peuvent éventuellement être capturées et reproduites à l’insu des personnes (fabrication d’un faux doigt…).
• Les dispositifs biométriques "sans traces" : le contour de la main, le réseau veineux des doigts de la main.
• Les dispositifs biométriques dits "intermédiaires" : la voix, l’iris de l’œil, la forme du visage.

2. Les enjeux pour la vie privée

D’abord réservée à l’identification judiciaire, la biométrie concerne des usages toujours plus variés (contrôle d’accès à des locaux, gestion des horaires, etc). Or, la donnée biométrique n’est pas une donnée d’identité comme les autres. Elle n’est pas attribuée par un tiers ou choisie par la personne. Elle est produite par le corps lui-même et le désigne de façon définitive. Le mauvais usage ou le détournement d’une telle donnée peut alors avoir des conséquences graves. C’est pour cela que le recours à la biométrie doit être strictement encadré.

3. Le cadre juridique

Principe général : les dispositifs de reconnaissance biométrique sont soumis à l’autorisation préalable de la Commission (art 25 de la loi "Informatique et libertés"). Chaque organisme doit donc effectuer une demande d’autorisation auprès de la CNIL.

Afin de simplifier la procédure, la Commission a allégé les formalités pour certains dispositifs, en définissant un cadre : l’autorisation unique. Quand un organisme souhaite mettre en œuvre un dispositif biométrique qui répond aux conditions définies dans une autorisation unique, il doit effectuer une déclaration simplifiée, en s’engageant à respecter les conditions définies dans ce texte. La CNIL peut, à tout moment, effectuer un contrôle sur place pour vérifier la réalité de cet engagement.

Cas particulier : les dispositifs biométriques mis en œuvre par l’Etat pour authentifier ou contrôler l’identité des personnes relèvent d’un avis préalable de la CNIL sur un décret (art  27-I-2° de la loi).

La doctrine de la CNIL

1. Les principes directeurs dégagés par la CNIL

• Les dispositifs relevant d’une déclaration simplifiée (engagement de conformité) : La Commission a simplifié les formalités pour les dispositifs biométriques reposant sur la reconnaissance :
• du contour de la main pour assurer le contrôle d’accès aux lieux de travail et de restauration collective (autorisation unique AU-007),
• de l’empreinte digitale exclusivement enregistrée sur un support individuel pour contrôler l’accès aux locaux professionnels (autorisation unique AU-008),
• du contour de la main pour assurer le contrôle d’accès au restaurant scolaire (autorisation unique AU-009),
• du réseau veineux des doigts de la main pour contrôler l’accès aux locaux sur les lieux de travail (autorisation unique AU-019)
• les ordinateurs portables professionnels intégrant des lecteurs d’empreintes digitales(Autorisation unique n° AU-027)
• Les dispositifs relevant d’une demande d’autorisation spécifique :
  Si le dispositif biométrique ne relève pas d’une de ces autorisations uniques, il faut alors adresser à la Commission une demande d’autorisation. Pour délivrer une autorisation, la CNIL se réfère à quatre principes :
• la finalité du traitement,
• la proportionnalité entre la finalité et les risques en matière de protection des données et de la vie privée,
• la sécurité,
• l’information des personnes concernées.

Sur la base de ces critères, la CNIL a strictement encadré le recours à la biométrie. Elle a, en particulier, subordonné la création d’une base centralisée de données d’empreintes digitales à un "fort impératif de sécurité". En effet, si le recours à l’empreinte digitale, technique "à traces", est très performant en matière d’identification des personnes, cette technique demeure en effet risquée en termes d’usurpation d’identité, ce qui justifie que son usage soit encadré.

A titre d’exemples,

• la Commission a ainsi refusé : l’utilisation d’un dispositif reposant sur l’empreinte digitale pour contrôler l’accès à un établissement scolaire ainsi que la présence des élèves (délibération n°2008-178 du 26 juin 2008) ;
• La Commission a en revanche autorisé : l’expérimentation d’un système de reconnaissance de l’empreinte digitale avec base centralisée ayant pour finalité le contrôle de l’identité des patients d’un hôpital pris en charge en radiothérapie (délibération n°2010-033 du 11 février 2010).

2. Comment informer les personnes concernées par le traitement ?

Les personnes concernées par le dispositif biométrique (salariés, clients, patients, etc), doivent être clairement informées de ses conditions d’utilisation, de son caractère obligatoire ou facultatif, des destinataires des informations collectées et des modalités d’exercice de leurs droits d’opposition, d’accès et de rectification. Lorsque la réglementation l’exige (Code du travail ou régime de la fonction publique), les instances représentatives du personnel doivent être consultées et informées avant la mise en œuvre des dispositifs.

Comment déclarer à la CNIL ?

Toutes les formalités s’effectuent en ligne sur le site internet de la CNIL, rubrique  Déclarer  :

• si le dispositif biométrique est conforme à l’une des autorisations uniques, il suffit d’effectuer auprès de la CNIL une déclaration simplifiée de conformité à ce texte ;
• les traitements ne relevant pas de l’une de ces autorisations uniques doivent faire l’objet d’une demande d’autorisation spécifique.