La CNIL plus souple sur le contrôle d’accès biométrique

Le 30 Juin 2016, la CNIL, Commission Nationale de l’Informatique des Libertés, s’est accordé à revoir son dispositif d’encadrement concernant la mise en place de systèmes biométriques pour passer dorénavant à deux autorisations uniques contre quatre par le passé.

Dans un premier temps, il est important de rappeler ce qu’est la biométrie. Il s’agit de la mesure des caractéristiques morphologiques uniques propres à chaque individu, telles que les empreintes digitales, l’iris etc. Aujourd’hui, il faut constater que la biométrie est de plus en plus présente dans notre quotidien. On pense bien sûr aux capteurs biométriques sur nos Smartphones (Apple, Samsung…), sur nos ordinateurs (Windows 10 et l’application Hello), ou via des applications (Apple Pay et le paiement sans contact). La CNIL conçoit bien évidemment que l’identification biométrique est un moyen pratique, fiable et sécuriante mais tient tout de même à en maîtriser le déploiement.

Par le passé, la CNIL différenciait les biométries « à traces » comme l’empreinte digitale et les biométries « sans trace » comme la voix, le réseau veineux ou encore la reconnaissance faciale. Par conséquent, de par cette distinction, la CNIL avait adopté quatre autorisations uniques pour encadrer ces technologies biométriques : l’AU-027 (Contrôle d’accès par empreinte digitale via un ordinateur professionnel), l’AU-019 (Réseau veineux), l’AU-008 (Empreinte digitale sur le lieu de travail), l’AU-007 (Contour de la main). Pour résumé, les empreintes ne pouvaient être stockées que sur un support tel que des cartes Mifare ou Desfire. Seuls les lieux à forte exigence en terme de sécurité (ex: centrales nucléaires, chantiers dangereux…) pouvaient se voir accorder une autorisation spécifique pour un stockage des empreintes sur un serveur.

Cependant, dans un contexte où nous sommes sans cesse exposés à des caméras, où nos photos et données privées sont exposées publiquement (ex: Facebook), la CNIL admet que la frontière entre biométrie « à trace » et biométrie « sans trace » est désormais quasi nulle. De ce fait, la CNIL accorde plus de souplesse et met en place deux nouvelles autorisations uniques :

  • AU-052 : Les personnes maîtrisent leur gabarit biométrique. Concrètement, l’empreinte doit être stocké sur une carte ou sur un autre support, ainsi en cas de perte ou de vol, seule la carte subtilisée est compromise et non pas toutes les empreintes de tous les salariés. Si la carte ne suffit pas, l’empreinte a le droit d’être conservé dans des serveurs de manière inexploitable sans l’intervention de la personne.
  • AU-053 : Les personnes ne maîtrisent pas leur gabarit biométrique. Dans le cas où une entreprise souhaite centraliser toutes les empreintes dans une base de données. L’entreprise devra expliquer de manière écrite et détaillée pourquoi ils ont besoin d’une telle utilisation.

Par conséquent, et en témoignent ces nouvelles mesures, la biométrie arrive à grand pas dans nos vies personnelles et professionnelles. La position plus favorable de la CNIL s’inscrit également dans une démarche internationale, puisque la France est l’un des seuls pays où le recours à la biométrie est encore limité par cette institution. Mais, dans un contexte où diverses menaces pèsent sur notre population, nous n’avons d’autre choix que de nous prémunir au mieux, et la technologie biométrique semble être actuellement l’alternative idéale.

Pour en savoir plus