Il existe différentes techniques biométriques permettant d’identifier une personne. Certaines sont encore expérimentales ou trop complexes à mettre en place (thermographie, ADN, étude de la démarche…), mais d’autres, basées sur l’analyse des empreintes digitales, de la forme du visage, du contour de la main, du système veineux des doigts ou encore de l’iris, sont déjà utilisées. Ainsi est-il possible de trouver dans le commerce des serrures équipées d’un lecteur biométrique permettant de contrôler les accès à un local, à un coffre-fort ou plus simplement à des ordinateurs fixes ou portables.

Le principe est simple : tous les dispositifs de reconnaissance biométrique sont soumis à l’autorisation préalable de la Cnil. Par exception cependant, certains dispositifs biométriques peuvent être déployés après n’avoir effectué qu’une déclaration simplifiée auprès de la Cnil. Il s’agit, par exemple, de ceux permettant le contrôle des accès aux lieux de travail basés sur l’analyse du contour de la main ou du réseau veineux des doigts. Les autres nécessiteront l’obtention préalable d’une autorisation spécifique que la Cnil ne délivre qu’à l’issue d’une analyse rigoureuse se basant sur quatre principes :

- la finalité du traitement qui doit être précise (personnes concernées, usages, intérêt de recourir à un tel système) ;

- la proportionnalité existant entre cette finalité et la nécessaire protection de la vie privée des personnes fichées ;

- la sécurité autrement dit non seulement la fiabilité technique du système en termes d’identification des personnes mais aussi les garanties apportées pour éviter la divulgation des données personnelles des personnes fichées ;

- l’information des personnes concernées qui doit être réalisée dans le respect de la loi.

Le cas particulier des empreintes

La Cnil réserve un traitement spécifique aux dispositifs basés sur les empreintes digitales. Elle considère que dans la mesure où nous laissons nos empreintes sur tous les objets que nous touchons, ces dernières risquent d’être reproduites et réutilisées à notre insu. Aussi, seule l’utilisation des verrous à lecteur d’empreintes digitales ne stockant pas d’image (l’image de l’empreinte est alors stockée sur une carte en possession de l’utilisateur) ou des ordinateurs portables intégrant un lecteur d’empreinte est soumise à une déclaration simplifiée. En revanche, à partir du moment où le dispositif permet le stockage de l’image des empreintes (dans un fichier central présent sur un ordinateur de l’entreprise, par exemple), son utilisation nécessite alors l’accord préalable de la Cnil qu’elle ne délivrera que si elle identifie un « fort impératif de sécurité ».

Précisions : à titre d’exemple, l’utilisation d’un système de contrôle des empreintes digitales destiné à permettre l’accès à une entreprise de stockage et de livraison de bijoux en gros a été autorisée par la Cnil (délibération n° 2011-361 du 10 novembre 2011). En revanche, la mise en place d’un système équivalent pour pouvoir utiliser des postes informatiques chez un producteur de tabac a été refusée au motif que le traitement était inadapté et non proportionné au regard de la protection des données personnelles des personnes fichées (délibération n° 2008-397 du 6 novembre 2008).

Depuis 2006, sur simple engagement de conformité auprès de la Cnil (autorisation unique AU-007), il était possible de mettre en place un dispositif basé sur la reconnaissance du contour de la main pour contrôler l’accès aux locaux de l’entreprise mais aussi pour gérer les horaires de travail et la restauration. Après consultation notamment des partenaires sociaux, la Cnil a mis fin à cette souplesse quant au contrôle des horaires. Ainsi, depuis mi-octobre 2012, l’employeur qui veut installer un système biométrique (quelle que soit la caractéristique biométrique utilisée) pour gérer les horaires de travail de ses salariés ne peut plus avoir recours à la procédure simplifiée et se trouve dans l’obligation de déposer auprès de la Cnil une demande d’autorisation préalable. Quant aux systèmes biométriques de gestion des horaires mis en place avant la réforme de l’autorisation unique AU-007, ils devront être remplacés dans les 5 ans.

Voici un tableau récapitulatif des systèmes biométriques les plus couramment utilisés et de la réglementation Cnil qui leur est applicable :

N’hésitez pas à consulter les sites internets :

- Cnil : www.cnil.fr  

- délibérations de la Cnil depuis 1979 : www.legifrance.gouv.fr (rubrique « Base de données »)

Article du 27/03/2013 - © Copyright Les Echos Publishing - 2013