TWITTER FOLLOW US Facebook
Flux RSS


Un cookie va stocker. Date expiration :ce soir minuit. Petit Moyen Grand Aide  
BIOMÉTRIE : AMÉLIORER LA SÉCURITÉ JURIDIQUE GRÂCE À LA
fl Article publié le 07/11/2014
fl Auteur : Me Julien Le Clainche  Avocat Privacy IP/IT - Docteur en droit .
fl Domaines : Informatique et libertés, Droits_de_la_personnalite.
fl Ordre juridique : ordre juridique
Données à caractère personnel, Biométrie, contrôle d'accès, privacy by design, protection intégrée de la vie privée
3.
print| Cet article a été lu 6070 fois |

News Le droit applicable à la biométrie est en pleine évolution, mais il est animé par des tendances contradictoires. Dans ce contexte, les principes de la Privacy by Design peuvent améliorer la sécurité juridique de tous les acteurs et renforcer l'effectivité de la norme.

fl Le progrès technique, mais aussi les évolutions des comportements sociaux, induisent des besoins de vérification et d’identification accrus. Cette identification est devenue permanente et systématique : réseaux carte bancaire, téléphonie mobile, accès internet et services qui y sont proposés, contrôle d’accès physique à l’entreprise et logique à son système d’information, objets connectés, etc. Le risque de voir l’individu réduit à un simple numéro fait aujourd’hui place à celui d’une personne éclatée en une multitude d’identifiants, mais finalement toujours de plus en plus transparente, car toutes ces identités sont potentiellement reliées entre elles.

La biométrie : une solution pratique et fiable

Ce foisonnement d’identifiants suscite des besoins de simplicité et de fiabilité. Dans ce contexte, l’identification des individus en fonction de leurs caractéristiques physiques, psychologiques ou comportementales, qui allie à la fois une utilisation pratique et simple du côté de l’utilisateur ainsi qu’un haut niveau de sécurité, est logiquement en plein essor.

La biométrie n’est pas nouvelle puisque l’identification à partir d’une photographie est déjà ancienne, mais elle connaît des évolutions importantes. Cette technique d’identification est de mieux en mieux acceptée par les populations qui en font l’expérience quasi quotidienne avec leurs passeports, au sein de leur entreprise et désormais avec leurs "Smartphones" dont la plupart des modèles embarquent des systèmes d’identification biométrique.

La biométrie : des craintes légitimes

Cette pénétration de la biométrie peut tendre à simplifier nos vies tout en renforçant la sécurité, mais elle génère aussi des craintes légitimes qu’il ne faut pas sous-estimer. Celles-ci portent principalement sur :

- La gestion de la compromission de l’identifiant biométrique : révocation et réémission.

- La transparence et la confidentialité des traitements : collecte à l’insu des personnes avec par exemple les techniques de reconnaissance faciale ; information sur les finalités du traitement, sur les destinataires, sur le lieu et la durée de conservation des données…

- Les décisions prises sur le fondement du traitement et les voies de recours possibles.

- L’éventuelle inférence de données sur la base du "sample", du "template" ou de l’identifiant biométrique.

Biométrie : une insécurité juridique croissante

Pour répondre aux attentes de la société, mais aussi à ses craintes, les droits de la vie privée et des données à caractère personnel sont animés par des tendances contradictoires ou, à tout le moins, mal coordonnées. Cette situation est d’autant plus désolante que ces droits qui cherchent à règlementer des domaines particulièrement techniques pourraient s’appuyer davantage sur les principes de la protection intégrée de la vie privée (PIVP ou Privacy by Design – PbP).

Le droit français a longtemps été silencieux au sujet des traitements de données biométriques et c’est en 2004 qu’ils ont été soumis à une procédure d’autorisation préalable par la Commission nationale de l’informatique et des libertés (CNIL). Après avoir structuré le droit applicable à la biométrie autour de cinq procédures simplifiées dites d’autorisation unique (90 % des autorisations délivrées à ce jour), la Commission a fait évoluer sa doctrine en 2013 et distingue désormais la biométrie de sécurité, la biométrie de service et les expérimentations. 

Le Sénat a adopté le 27 mai 2014, en première lecture, une proposition de loi pour "limiter l’usage des techniques biométriques" qui n’est pas nécessairement articulée avec la doctrine de la Commission. Concrètement, le pouvoir d’interprétation de la Commission serait encadré par la loi alors que celle-ci disposait jusqu’alors d’une grande liberté dans l’appréciation du caractère légitime et proportionné des traitements biométriques. Aux termes de la proposition de loi, l’autorisation des traitements biométriques serait subordonnée à "une nécessité excédant l’intérêt propre aux besoins de l’organisme les mettant en œuvre".

Les entreprises auraient alors trois ans pour mettre en conformité, voire retirer des systèmes pourtant déjà autorisés par la CNIL. En revanche, d’après les débats parlementaires , les "dispositifs biométriques d’authentification placés sur les ordinateurs et téléphones portables personnels" ne seraient pas concernés, ce qui implique une confiance aveugle, c’est-à-dire non vérifiée et non vérifiable, dans les fournisseurs de ces technologies (Apple, Samsung, etc.).

Au niveau européen , la proposition de règlement relative au droit des données personnelles après avoir envisagé une libéralisation du régime juridique de la biométrie pourrait, dans sa version amendée par le Parlement européen, renoncer à l’objectif d’harmonisation et renvoyer aux États membres le soin d’adopter des dispositions spécifiques à la biométrie.

Le renforcement de la sécurité juridique par la Privacy by Design

Le droit des données à caractère personnel souffre d’un déficit d’effectivité depuis son apparition dans les années soixante-dix. Il est donc urgent qu’il prenne appui sur des outils notamment techniques pour favoriser son application. Dès 1978, la loi prévoyait des principes de minimisation, de sécurité et de confidentialité des données. Ces principes comptent parmi ceux qui animent une démarche de protection intégrée de la vie privée.

L’intérêt de prendre en considération dès la phase de conception les enjeux de protection de la vie privée est triple. La mise en œuvre des principes juridiques au niveau de l’architecture permet d’assoir l’effectivité de la norme. Les personnes concernées ont l’assurance que le responsable tiendra ses engagements ; de la confiance aveugle, on passe à une confiance vérifiable, voire vérifiée. Enfin, au niveau des responsables de traitements, la sécurité juridique est accrue, car ils utilisent des outils vertueux qui les aident à respecter un cadre juridique complexe qu’ils maitrisent souvent mal.

Dans un environnement normatif en pleine évolution, il est indispensable qu’un droit créé pour réglementer "l’informatique, les fichiers et les libertés" prenne enfin appui sur des outils notamment techniques pour devenir efficace. Dans le contexte de la biométrie, la proposition de loi française est impraticable et dangereuse pour la sécurité juridique des personnes concernées, des responsables de traitement et pour l’industrie de la biométrie.

Il faut donc espérer que celle-ci sera abandonnée pour qu’une véritable réflexion de fond s’engage sur cette question par exemple, dans le contexte du projet de loi numérique qui devrait être débattu au début de l’année 2015.

Auteur : Me Julien Le Clainche  Avocat Privacy IP/IT - Docteur en droit . | Source : Les Echos |
NOTES
Cet article a été publié le 29 octobre 2014 sur Les Echos
LIENS
 

top
© 2000-2015 Julien Le Clainche