RGPD et biométrie

La compatibilité de nos produits au regard de la RGPD

Avec le RGPD, l’utilisation de la biométrie est autorisée pour le contrôle d’accès physique sur le lieu de travail.

Pour être en conformité avec le règlement, l’employeur devra :

  • Rédiger un document sur l’évaluation de l’impact sur la vie privée (DPIA en anglais)
  • Obtenir le consentement légitime des utilisateurs avec la définition d’une alternative pour les personnes ne souhaitant pas utiliser la Biométrie, comme par exemple l’utilisation conjointe d’un badge et d’un code PIN

Dans certains cas, il sera possible de se passer du consentement des utilisateurs en appliquant la raison de l’intérêt légitime (Exemple : Dans une centrale nucléaire ou un lieu hautement sensible comme certains sites Seveso ou PIV chez des OIV).

Sur demande, Biotime Technology pourra partager la documentation des produits nécessaire pour compléter le DPIA.

Nos lecteurs biométriques ont été pensés en accord avec les principes de « Protection des données dès la conception et par défaut » comme demandé par le RGPD.

De plus, il est important de préciser que :

  • Les photos des empreintes digitales et des visages NE sont PAS stockées
  • Il est techniquement impossible d’effectuer une ‘retro-ingénierie’ sur les gabarits biométriques afin de retrouver les images d’origines (les fichiers binaires sont codés et chiffrés avec des clés AES-128)
  • Toutes les données personnelles sont hébergées et contrôlées par le client final
  • Biotime Technology n’a pas accès aux données personnelles au travers de services Internet
  • Un geste explicite de l’utilisateur est nécessaire pour montrer son intention à utiliser le procédé biométrique :
    • Pour le VisionPass, l’acquisition biométrique ne commencera que et seulement si l’utilisateur entre dans la zone d’intention (entre 35 et 70cm de l’appareil) et si l’utilisateur regarde le lecteur. Il est aussi possible de rajouter une action supplémentaire comme l’utilisation d’un badge pour déclencher l’acquisition biométrique
    • Pour le MorphoWave Compact, l’utilisateur doit passer sa main dans le lecteur
    • Pour la famille SIGMA ou VP, l’utilisateur doit poser son doigt sur le capteur
  • Comme demandé par le RGPD, le droit de se faire oublier ainsi que le droit de retirer son consentement pourra être réalisé au travers de notre fonction d’effacement dans le logiciel MorphoManager et le lecteur biométrique

Stockage protégé des gabarits biométriques