Autorisation unique n°19 (« reconnaissance du réseau veineux »)
Plusieurs Cours d'appel ont récemment condamné la société Easydentic, désormais rebaptisée SafeTIC, pour avoir entre 2004 et 2006 fourni en connaissance de cause des dispositifs biométriques de contrôle d'accès non conformes à la doctrine de la CNIL.
Le groupe Easydentic, récemment rebaptisé SafeTIC, est un acteur européen sur le marché des technologies innovantes appliquées à la sécurité des entreprises et organismes publics. Il offre notamment des solutions d'accès aux locaux par le recours à la biométrie.
L'entité française du groupe, la société SafeTIC SA, a été condamnée le 23 février dernier par la Cour d'appel de Paris pour avoir fourni en décembre 2004 à la Société d'économie mixte pour la construction et l'exploitation du marché d'intérêt national d'Avignon une installation biométrique destinée à sécuriser l'accès à ses locaux. Or, cette installation a fait l'objet d'un refus d'autorisation par la CNIL, au vu des caractéristiques du dispositif. La CNIL refuse en effet d'autoriser les dispositifs permettant la centralisation d'empreintes digitales dans une base unique, en l'absence d'un impératif fort de sécurité. Le contrat de fourniture a donc été annulé aux torts de la société SafeTIC pour n'avoir pas fourni un matériel conforme à la réglementation en vigueur, ne recevant pas la proposition d'EASYDENTIC d'adapter le dispositif aux exigences de la CNIL.
La société a fait l'objet de plusieurs condamnations judiciaires, en 2010 et 2011 (arrêts des Cours d'appel de Rennes, Aix-en-Provence, Pau et Poitiers, concernant notamment divers casinos et le Football Club de Nantes). Ces décisions révèlent la volonté de la société de fournir à ses clients des matériels dont elle savait que leur mise en œuvre les placerait en contradiction avec les règles fixées par la CNIL. L'une de ces décisions révèle également que la société a délibérément interdit à ses équipes commerciales de prendre contact avec la CNIL, évitant ainsi que la vente de ses matériels soit remise en question.
La formation contentieuse de la CNIL a déjà relevé, à plusieurs reprises, les difficultés occasionnées par les pratiques commerciales de la société Easydentic. Elle a poursuivi des entreprises qui avaient mis en œuvre, en toute bonne foi, des dispositifs reposant sur l'enregistrement centralisé d'empreintes digitales fournis par cette société.
La CNIL rappelle qu'elle n'a aucune opposition de principe à l'encontre de la biométrie, dès lors que les dispositifs mis en œuvre sont respectueux des droits et des libertés fondamentales des personnes.
Ainsi a-t-elle adopté en avril 2009 une autorisation unique concernant les dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main dont la finalité est le contrôle de l'accès aux locaux sur les lieux de travail. Cette technologie est d'ailleurs proposée par le groupe SAFETIC. Celui-ci indique, à la demande, échanger les dispositifs reposant sur l'utilisation de support individuel d'empreinte digitale ayant été remis à ses clients contre des dispositifs reposant sur la technologie de reconnaissance veineuse.
