Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

La biométrie, qu’est-ce que c’est ?

La biométrie regroupe l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques sont des données à caractère personnel car elles permettent d’identifier une personne. Elles ont, pour la plupart, la particularité d’être uniques et permanentes (ADN, empreintes digitales...). Elles se rapprochent ainsi de ce qui pourrait être défini comme un « identificateur unique universel », permettant de fait le traçage des individus.

Attention !

La CNIL n’agrée pas et ne labellise pas les dispositifs biométriques.
Les sociétés qui commercialisent ce type de dispositifs ne peuvent donc en aucune façon se prévaloir d’un quelconque agrément de la CNIL sur leur produit.

 

Comment Déclarer ?

  • Si le dispositif biométrique est conforme à l’une de ces trois autorisations uniques, il suffit d’adresser à la CNIL une simple déclaration de conformité.
  • Les traitements ne relevant pas de l’une de ces autorisations uniques doivent faire l’objet d’une demande d’autorisation.

Contenu

La biométrie sur les lieux de travail

17 décembre 2012

Les dispositifs biométriques, parce qu’ils permettent d’identifier une personne par ses caractéristiques physiques, biologiques voire comportementales, sont particulièrement sensibles et sont donc soumis à un contrôle particulier de la CNIL. Ainsi, ces dispositifs ne peuvent être mis en œuvre sans autorisation préalable de la CNIL.

Le cadre juridique

Tous les dispositifs de reconnaissance biométrique sont soumis à autorisation préalable de la CNIL quel que soit le procédé technique retenu (contour ou forme de la main, empreinte digitale...). Il appartient à chaque organisme d’adresser une demande d’autorisation à la CNIL. Sauf trois cas de figure précisés ci-après, chaque application fait l’objet d’un examen au cas par cas, en fonction notamment de la caractéristique biométrique utilisée.

Des formalités allégées pour certains dispositifs biométriques

Afin de faciliter les formalités, la Commission a défini un cadre, appelé autorisation unique, applicable à certains dispositifs biométriques. Le principe est le suivant : lorsque, par exemple, un employeur souhaite mettre en oeuvre un dispositif biométrique qui répond aux conditions définies dans ce cadre, il peut bénéficier d’une procédure simplifiée. Il lui suffit alors d’adresser à la CNIL une simple déclaration de conformité.

Cette procédure d’autorisation unique s’applique à trois types de dispositifs reposant sur la reconnaissance :

  • du contour de la main pour assurer le contrôle d’accès au restaurant scolaire (autorisation n°AU-009);
  • du contour de la main pour assurer le contrôle d’accès aux locaux et à la restauration sur les lieux de travail (autorisation n°AU-007 ) ;
  • de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée pour contrôler l’accès aux locaux professionnels (autorisation n°AU-008).

L’utilisation de dispositifs de reconnaissance biométrique, pour la gestion des contrôles d’accès aux locaux, des horaires et de la restauration ne peut être déclarée en référence à la norme simplifiée n° 42, relative aux traitements de contrôle d’accès.

La nécessaire information préalable des intéressés

Les personnes concernées par le dispositif biométrique doivent être clairement informées de ses conditions d’utilisation, de son caractère obligatoire ou facultatif, des destinataires des informations et des modalités d’exercice de leurs droits d’opposition, d’accès et de rectification. En outre, et conformément au Code du travail et à la législation applicable à la fonction publique territoriale, les instances représentatives du personnel doivent, le cas échéant, être consultées et informées avant la mise en oeuvre des dispositifs.

Le cas particulier des dispositifs reposant sur l’enregistrement des empreintes digitales dans une base de données

Dans une communication destinée à mieux informer les salariés sur leurs droits et permettre aux entreprises et administrations de se poser les bonnes questions « informatique et libertés » la CNIL rappelle que :

  • l’empreinte digitale est une biométrie à « trace ». Chacun laisse des traces de ses empreintes digitales, plus ou moins facilement exploitables, dans beaucoup de circonstances de la vie courante (sur un verre ou une poignée de porte etc.) ;
  • ces « traces » peuvent être capturées à l’insu des personnes et être utilisées notamment pour usurper leur identité.

Par conséquent, ces dispositifs ne sont justifiés que s’ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes :

  • la finalité du dispositif : elle doit être limitée au contrôle de l’accès d’un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme tel que la protection de l’intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines informations (ex : accès à une centrale nucléaire, à une cellule de production de vaccins ou à un site Seveso II) ;
  • la proportionnalité : le système proposé est-il bien adapté à la finalité préalablement définie eu égard aux risques qu’il comporte en matière de protection des données à caractère personnel ?
  • la sécurité : le dispositif doit permettre à la fois une authentification et/ ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données ;
  • l’information des personnes concernées : elle doit être réalisée dans le respect de la loi « informatique et libertés » et, le cas échéant, du Code du travail.