Dans un contexte de généralisation des mécanismes d'authentification biométriques, la Commission nationale de l'informatique et des libertés (CNIL) clarifie les règles pour la mise en place et le traitement de données biométriques et rappelle que le particulier doit en garder la maîtrise.

La biométrie est aujourd'hui intégrée à de nombreux actes de la vie quotidienne nécessitant une authentification des personnes. Il peut s'agir du déverrouillage de son smartphone, du contrôle d'accès au bureau, à la salle de sports, à son ordinateur ou encore de la récupération de photographies, rendus possibles grâce aux empreintes digitales, aux réseaux veineux de la paume de la main, à la reconnaissance vocale, du visage, de l'iris, etc.

Le mauvais usage ou le détournement de ces données peut ...

Dans un contexte de généralisation des mécanismes d'authentification biométriques, la Commission nationale de l'informatique et des libertés (CNIL) clarifie les règles pour la mise en place et le traitement de données biométriques et rappelle que le particulier doit en garder la maîtrise.

La biométrie est aujourd'hui intégrée à de nombreux actes de la vie quotidienne nécessitant une authentification des personnes. Il peut s'agir du déverrouillage de son smartphone, du contrôle d'accès au bureau, à la salle de sports, à son ordinateur ou encore de la récupération de photographies, rendus possibles grâce aux empreintes digitales, aux réseaux veineux de la paume de la main, à la reconnaissance vocale, du visage, de l'iris, etc.

Le mauvais usage ou le détournement de ces données peut alors avoir des conséquences graves pour les droits et libertés des personnes. La CNIL incite donc les professionnels à veiller à ce que l'utilisation des technologies garantisse la protection des données personnelles.

• Justifier d'un besoin spécifique :

  Le dispositif biométrique doit avant tout répondre à un vrai besoin, comme l'authentification pour permettre l'accès à un lieu, une application ou un service ;

• Laisser la personne libre d'y recourir ou de choisir un dispositif alternatif :
  L'utilisateur doit recevoir une information individuelle renforcée sur le dispositif biométrique et son alternative. Il doit pouvoir choisir d'utiliser un autre mode d'authentification (simple badge ou mot de passe), sans contrainte additionnelle, incitation ou contrepartie. L'accord de l'utilisateur ne doit pas être dilué dans une acceptation générale des conditions d'utilisation du service mais doit porter spécifiquement sur l'authentification biométrique ;
• Maintenir les données biométriques sous le contrôle exclusif de la personne concernée :

  Le gabarit biométrique (échantillon biométrique de référence créé à partir d'une image) est soit enregistré sur un support individuel remis à la personne (un badge) ou conservé en sa possession (sur son appareil mobile), soit stocké en base de données sous une forme le rendant inutilisable sans intervention de la personne concernée, qui dispose d'un élément secret permettant de déchiffrer son gabarit.

  Cela permet notamment de réduire les risques de mauvais usage, compromission ou détournement. Le détenteur d'un support individuel est ainsi certain que son gabarit biométrique ne sera utilisé que s'il le décide, à la suite d'une action de sa part (en présentant le support ou en communicant le secret permettant de l'utiliser).

  Ce principe de maintien de la donnée sous le contrôle exclusif de la personne concernée répond aux orientations du Règlement Général de Protection des Données (RGPD), qui impose d'opter pour des systèmes garantissant par défaut et dès leur conception une protection des données optimale.

Ces principes constituent un standard auquel des dérogations peuvent être envisagées. Celles-ci doivent néanmoins être expliquées et valablement justifiées par le responsable de traitement, dans le cadre d'une étude d'impact sur la vie privée notamment, au regard d'éléments de contexte et de garanties déployées pour protéger la vie privée des personnes concernées par le traitement biométrique.

À savoir :

Le RGPD est une nouvelle réglementation européenne sur la mise en conformité des données et des traitements associés qui sont entrés en application le 25 mai 2018. À partir de cette date :

• Les entreprises doivent prouver leur effort de mise en conformité RGPD ;
• Elles doivent cartographier leurs données personnelles et leurs traitements ;
• Elles doivent s'organiser : création de poste de délégué à la protection des données, procédures, formation/sensibilisation des équipes ;
• Elles doivent se doter d'outils logiciels.

Pour en savoir plus

• Biométrie à disposition de particuliers : quels sont les principes à respecter ? 

  Commission nationale de l'informatique et des libertés (Cnil)