L’ usage de la biométrie ne devrait finalement pas être restreint aux cas de nécessité stricte de sécurité. C’était pourtant l’objet d’un amendement proposé par le Sénat dans le projet de loi pour une République numérique.
Des dispositifs encadrés
A ce jour, l’article 25 I 8° de la loi Informatique et libertés impose au responsable de traitement d’obtenir une autorisation de la Commission nationale de l’informatique et des libertés (Cnil) pour la mise en place de « traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ».
Si la Cnil porte une attention particulière aux impératifs de sécurité qui président à la mise en place de dispositifs biométriques, les finalités pour lesquelles la biométrie peut être utilisée ne sont pas limitées dans la loi Informatique et libertés.
La Cnil a ainsi autorisé l’ usage de la biométrie :
- dans le cadre d’un système d’authentification des titulaires de cartes bancaires (1) ;
- pour le contrôle d’accès aux locaux professionnels (2) et la restauration sur les lieux de travail (3) ;
- pour le contrôle de l’accès aux postes informatiques portables professionnels (4).
Une proposition de limitation des finalités autorisées
Afin de restreindre les cas dans lesquels l’ usage de la biométrie pourrait être autorisé, le Sénat avait adopté le 27 mai 2014 une proposition de loi visant à limiter l’usage des techniques biométriques.
Déposé à l’initiative de M. Gaëtan Gorce, membre de la Cnil depuis 2011, le texte proposait que seuls « les traitements dont la finalité est la protection de l’intégrité physique des personnes, la protection des biens ou la protection d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible et qui répondent à une nécessité excédant l’intérêt propre de l’organisme les mettant en œuvre » puissent être autorisés par la Cnil (5).
Le texte visait ainsi à limiter l’ usage de la biométrie à trois finalités, à savoir :
- la protection de l’intégrité physique des personnes ;
- la protection des biens ;
- la protection d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible.
Le dispositif biométrique devait en outre répondre à une nécessité excédant l’intérêt propre de l’organisme souhaitant le mettre en œuvre. Un délai transitoire de 3 ans était prévu.
Un refus d’inscrire dans la loi une limitation à l’ usage de la biométrie
N’ayant pas encore été examinée par l’Assemblée nationale, la proposition de loi visant à limiter l’usage des technologies biométriques a finalement été introduite sous forme d’amendement dans le projet de loi pour une République numérique (article 34 bis nouveau), à l’occasion de l’examen du texte par les sénateurs début 2016.
La Commission mixte paritaire, chargée de trouver un compromis entre les propositions de l’Assemblée nationale et celles du Sénat, a toutefois mis fin à la progression de la proposition de loi.
Lors des discussions autour du projet de loi pour une République numérique, elle a en effet choisi de ne pas limiter d’avantage l’ usage de la biométrie, en retirant les dispositions proposées à l’article 34 bis.
Si le texte de compromis est approuvé en l’état par l’Assemblée nationale et par le Sénat, les finalités pour lesquelles les organismes pourront recourir à la biométrie ne devraient donc pas être inscrites de manière limitative dans le texte de loi.
Notre conseil
Si ce résultat offre plus de flexibilité à la Cnil pour choisir les cas dans lesquels elle souhaite autoriser ou non l’ usage de la biométrie, il ne faut pas perdre de vue que ces cas restent limités dans les faits.
Pour améliorer leurs chances de succès auprès de la Cnil, les organismes doivent ainsi présenter des dossiers argumentés de demande d’autorisation, faisant ressortir en particulier :
- la finalité déterminée, explicite et légitime, pour laquelle le dispositif biométrique est envisagé ;
- la manière dont les risques en matière de protection des données sont pris en compte et les garanties qui sont apportées ;
- les mesures de sécurité mises en place.
Alain Bensoussan Avocats
Lexing Informatique et libertés
(1) Voir notre article du 15-4-2016 « La biométrie prête sa voix pour sécuriser les transactions » ;
(2) Voir par exemple Délib. Cnil 2015-363 du 15-10-2015.
(3) Délib. Cnil 2012-322 du 20-9-2012 (autorisation unique AU-007)
(4) Délib. Cnil 2011-074 du 10-3-2011 (autorisation unique AU-027)
(5) La proposition de loi initialement déposée visait « les traitements justifiés par une stricte nécessité de sécurité ». Cette notion a été précisée dans la rédaction finale du texte adopté par le Sénat.