Informatique et libertés
Biométrie
L’encadrement des dispositifs biométriques
Aux termes de l’article 25 de la loi Informatique et libertés modifiée, la Cnil doit être sollicitée pour donner son autorisation à la mise en place de solutions biométriques par des organismes, collectivités locales ou entreprises. Sont en effet mis en œuvre après autorisation « les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Le 27 avril 2006, la Cnil a adopté trois autorisations uniques en matière de biométrie. En ce qui concerne la méthodologie pratique, il suffira d’un simple engagement de conformité, qui peut être effectué en ligne, pour déclarer les traitements répondant aux normes d’autorisations uniques.
Le première autorisation concerne les traitements reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d’accès et la gestion des horaires et de la restauration sur le lieu de travail (1). La seconde autorisation concerne les traitements reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès aux restaurants scolaires (2). La troisième autorisation concerne les traitements reposant sur la reconnaissance d’une empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail (3). Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements peuvent procéder à la déclaration de conformité à l’aide d’un formulaire accessible sur le site de la Cnil.
Ces normes d’utilisation unique répondent à une utilisation croissante des dispostifs biométriques. Ces autorisations permettent d’alléger considérablement les lourdeurs administratives liées aux procédures d’autorisation ; cependant, afin de garantir une protection adéquate des libertés individuelles, ces autorisations uniques ne concernent que des traitements biométriques sans dangers, puisque concernant uniquement des dispostifs sans traces.
(1)Norme AU-007, Délibération n°2006-101 du 27 avril 2006
(2)Norme AU-009, Délibération n°2006-103 du 27 avril 2006
(3)Norme AU-008, Délibération n°2006-102 du 27 avril 2006
(Mise en ligne Avril 2006)