TWITTER FOLLOW US Facebook
Flux RSS


Un cookie va stocker. Date expiration :ce soir minuit. Petit Moyen Grand Aide  
CONTRôLES BIOMÉTRIQUES : LES RÈGLES À RESPECTER EN FONCTION DES TECHNIQUES UTILISÉES
fl Article publié le 10/04/2006
fl Auteur : M. Nicolas Samarcq  Juriste TIC .
fl Domaines : Informatique et libertés, droit social, droit du travail.
fl Ordre juridique : ordre juridique
3.
print| Cet article a été lu 5784 fois |

News Depuis quelques années les organismes privés et publics ont recours aux techniques biométriques pour renforcer la sécurité des accès aux locaux ou contrôler les horaires de travail.

fl Les systèmes biométriques s’appuient en particulier sur la reconnaissance de l’empreinte digitale, du contour de la main ou de l’iris

Face au risque de réutilisation de ces données personnelles, notamment les empreintes digitales qui laissent des « traces » et permettent une identification a posteriori des personnes présente dans un lieu à un moment déterminé, la Commission Nationale Informatique et Libertés a publié des recommandations à l’intention des responsables de traitement.

Les positions arrêtées par la CNIL conditionnent la mise en œuvre des « traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes1», qui font l'objet d'une demande d'autorisation préalable auprès de l’autorité administrative indépendante.


Empreintes digitales

La CNIL considère que les données biométriques d’une personne, qui laissent des « traces », doivent être uniquement conservées sur un support individuel (carte à puce, ordinateur...), afin d’éviter toute utilisation étrangère à la finalité initiale du traitement. Au regard du principe de proportionnalité, elles ne doivent pas être stockées dans une base centrale ou un lecteur biométrique regroupant les caractéristiques anthropométriques de plusieurs personnes. Seules des exigences impérieuses en matière de sécurité ou d'ordre public peuvent justifier une telle centralisation des données. La CNIL précise qu’elle n’a jamais constaté l’existence d’un tel impératif de sécurité dans le cadre des activités des collectivités locales.

Sur la base de ces principes, la Commission a refusé un traitement consistant à horodater les entrées et sorties de 600 agents du centre hospitalier de Hyères grâce à un dispositif de reconnaissance des empreintes digitales, qui devait les enregistrer dans un lecteur biométrique.

En revanche, l’établissement public Aéroports de Paris a obtenu l’autorisation de mettre en place, à titre définitif, un contrôle d’accès aux zones de sûreté des aéroports d’Orly et de Roissy reposant sur la reconnaissance de l’empreinte digitale des personnes employées. En l’espèce, le gabarit de l’empreinte digitale n’est stocké que sur une carte individuelle (badge) détenue par l’employé, et les données enregistrées dans les serveurs dédiés au contrôle des accès se limitent aux données nécessaires à l’identification de la personne concernée (nom, prénom, photographie, fonction).


Contour de la main

S’agissant du contour de la main, qui ne laisse pas de « traces », la CNIL estime que la conservation de ces données biométriques peut être réalisée indifféremment sur un support individuel ou dans une base de données. La Commission autorise, par exemple, ce système pour contrôler l’accès aux cantines scolaires (6 autorisations) et refuse tout procédé d’enregistrement des empreintes digitales des élèves dans une base de données2

En 2005 quatre organismes ont obtenu l’autorisation de mettre en oeuvre des systèmes d'identification par le contour de la main : Carrefour, Claranet (fournisseur d’accès internet pour entreprises), le collège Les Mimosas (Mandelieu/Alpes-Maritimes) et la mairie de Gagny (Seine-Saint-Denis).
Le système biométrique de Carrefour permet de contrôler l'accès à une zone contenant des produits de valeur, celui du FAI limite l'accès du « data center » au personnel habilité. Le collège gère les entrées à la cantine pour lutter contre la fraude, et la mairie a remplacé les badges (trop souvent perdus) par le contour de la main pour la gestion du temps de travail.
En pratique, pour s'identifier, les salariés, agents et collégiens composent leur code personnel et appliquent une main sur un lecteur. Le code correspond à une « clé biométrique » (mesures de la main) associée à l'identité de la personne. Le système ne reconnaît pas l'individu à la main, il vérifie seulement que le code correspond bien à l'individu qui appose la main et aucune image ou photographie de mains n'est conservée.

* * *

Cette année le débat sur la biométrie sera relancé au niveau national avec le projet INES II, qui devrait être présenté au cours du premier semestre 2006.

Le programme INES I (Identité Nationale Electronique Sécurisée), présenté en 2005, était un projet global consistant à fusionner et sécuriser les procédures de demande de passeport européen biométrique3 et de carte nationale d’identité électronique afin de lutter contre les fraudes à l’identité, sources de nombreuses infractions (immigration illégale, fraude aux allocations, aux droits sanitaires et sociaux, escroqueries…).

Il fut retiré en raison des nombreuses critiques et craintes prononcées au regard des atteintes à la vie privée des citoyens, notamment, dans le rapport du Forum des droits sur l'internet (16 juin 2005)4 et la position de la CNIL (31 mai 2005)5.


Nicolas Samarcq, Juriste TIC
www.lexagone.com

Auteur : M. Nicolas Samarcq  Juriste TIC . | Source : Lexagone |
NOTES
1 Article 25-I°-8 de la loi Informatique et Libertés du 6 janvier 1978, modifiée le 6 août 2004 : « les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes » doivent faire l'objet d'une demande d'autorisation préalable auprès de la CNIL.
2 Lors de sa séance du 12 janvier 2006, la CNIL a validé 2 dispositifs de contrôle d’accès à une cantine scolaire reposant sur la reconnaissance du contour de la main. Elle a refusé d’autoriser 4 traitements de contrôle d’accès et de gestion des horaires reposant sur la reconnaissance des empreintes digitales (3 enregistrés dans une base de données et 1 dans un lecteur biométrique) parce qu’ils n’étaient justifiés par aucun impératif particulier de sécurité. Echos des séances, 30 janvier 2006, http://www.cnil.fr/index.php?id=1938&news[uid]=304&cHash=1b5bb06ad5.
3 Règlement européen du 13 décembre 2004.
LIENS
 

top
© 2000-2015 Julien Le Clainche