Sécurité des systèmes d’information / Informatique et libertés
26ème Rapport d’activité 2005 :
La CNIL fait la synthèse de ses décisions en matière de biométrie
Dans son dernier rapport d’activité pour l’année 2005, la Cnil revient sur la doctrine qu’elle a établie depuis plusieurs années en matière de biométrie. Elle réaffirme ainsi la grande distinction qu’elle opère entre les traitements de données biométriques portant sur des éléments traçables dits « à trace » et ceux ne portant pas sur ce type d’éléments dits « sans trace ». Ces derniers consistent essentiellement en l’utilisation de techniques de reconnaissance de la rétine ou de reconnaissance par le contour de la main. Ne permettant pas, en eux-mêmes, de reconnaître un individu à son insu en collectant ses données biométriques sans qu’il en ait conscience, la Cnil considère qu’il ne s’agit pas de traitements de données biométriques dangereux et autorise en général leur mise en oeuvre.
Concernant les traitements laissant des traces et, en particulier, ceux utilisant la reconnaissance par empreinte digitale, la Cnil considère qu’ils peuvent permettre une collecte de données biométriques des personnes à leur insu, ce qui les rend, de fait, dangereux. La Cnil a donc établi les critères selon lesquels la mise en oeuvre de traitements de données biométriques laissant des traces est susceptible d’être autorisée en déterminant ainsi trois niveaux différents.
Le premier niveau correspond à un impératif de sécurité élevée, comme un contrôle aux frontières, par exemple. Dans ce cas, la Cnil autorise la mise en oeuvre d’un traitement de données à caractère biométrique laissant des traces.
Le second niveau correspond à un impératif de sécurité moindre comme par exemple l’accès de salariés à des locaux sécurisés (ceux de La Poste ou d’aéroports). Dans ce cas, la Cnil pour autoriser le traitement mis en œuvre demande que les données biométriques laissant des traces soient stockées dans un support individuel et non dans une base de données centralisée.
Le troisième niveau correspond à une absence d’impératif de sécurité. Dans ce cas, la Cnil peut autoriser la mise en oeuvre d’un traitement de données biométriques laissant des traces dès lors que les données biométriques sont stockées sur un support individualisé (une carte à puce) et, qu’en outre, l’utilisation de ce système biométrique reste facultatif pour les personnes concernées. Concernant la biométrie de confort, la Cnil a ainsi autorisé la mise en place d’une carte de fidélité permettant à des voyageurs de stocker leurs empreintes digitales sur une puce, de manière facultative, afin d’accéder à des services particuliers.
L’ensemble des décisions de la Cnil relatives à la mise en oeuvre de traitements de données biométriques ainsi que son rapport d’activité annuel sont accessibles depuis le site de la Cnil www.cnil.fr.
(Mise en ligne Mars 2006)