L'avis de Gwendal Le Grand, chef du service expertise informatique de la Cnil (Commission nationale informatique et libertés)

« Mieux vaut consulter la Cnil en amont du déploiement »

le 23/01/2014 L'AGEFI Hebdo

Quelle est la procédure pour obtenir auprès de la Cnil le droit de déployer un dispositif biométrique ?

La biométrie est soumise à autorisation préalable. Il faut donc dans certains cas déposer une demande à la Cnil. Toutefois, une autorisation unique est suffisante dans les cas suivants, dès lors qu'ils respectent les conditions précises de mise en oeuvre : le déploiement d’un dispositif de reconnaissance du contour de la main à la fois pour le contrôle d’accès et la gestion des horaires sur les lieux de travail, et pour le contrôle d’accès au restaurant scolaire ; les dispositifs à base d’empreinte digitale enregistrée uniquement sur un support individuel détenu par la personne concernée pour l’accès aux locaux professionnels ; les dispositifs utilisant le réseau veineux des doigts pour l’accès aux locaux sur les lieux de travail. Une fois mis en place, tous les systèmes peuvent être contrôlés par la Cnil.

Quels sont les critères de délivrance d’une telle autorisation ?

La Cnil est particulièrement vigilante concernant les dispositifs reposant sur l’enregistrement des données biométriques car ce sont des données particulières liées au corps. Certaines caractéristiques biométriques peuvent être capturées à l’insu des personnes puis réutilisées pour usurper leur identité. C’est pourquoi la commission évalue la finalité du dispositif et en particulier les raisons qui justifient la mise en place du dispositif, mais aussi la proportionnalité du système par rapport à sa finalité ainsi que sa sécurité, tant pour la fiabilité de l’authentification des personnes que pour éviter la diffusion des données. Enfin, les personnes concernées doivent être informées du dispositif.

Les demandes d’autorisation sont-elles en augmentation ?

Oui, en 2012, la Cnil a délivré 795 autorisations de dispositifs biométriques, soit 6,8 % de plus qu’en 2011 et, à la fin 2013, on comptait au total un peu moins de 5.000 autorisations. La commission échange aussi avec les entreprises bien en amont du déploiement, ce qui est bénéfique, car cela leur permet d’intégrer nos éventuelles remarques dans leurs processus, leur organisation et la façon dont la technologie biométrique est utilisée.

A lire aussi