le contrôle biométrique : à quelles conditions ?

Publié le 01/02/2009 - Mag Securs

La biométrie désigne l’ensemble des technologies de reconnaissance physique ou biologique des individus. Elle est un moyen d’identification d’une personne permettant de mesurer et de vérifier une ou plusieurs de ses caractéristiques physiques (morphologie du visage, empreintes digitales ou palmaires, forme de la main, reconnaissance de l’iris, empreintes génétiques, etc.). Elle permet également de mesurer les caractéristiques comportementales, par exemple la vitesse de frappe du clavier ou encore le timbre de la voix. De nouvelles techniques sont en cours de recherche, notamment le rythme cardiaque, l’irrigation sanguine ou encore les odeurs.

Ces techniques biométriques poursuivent plusieurs finalités : la vérification d’un droit, par exemple, celui d’accéder à des locaux aussi variés que ceux d’une cantine scolaire, un site nucléaire ou encore un hôpital, l’identification d’un individu, ou encore l’authentification (signature intégrant des techniques cryptographiques).

Cependant, l’échange de telles informations concernant les personnes ne va pas sans soulever des problèmes importants. En effet, cette technologie suppose le plus souvent l’enregistrement préalable de données biométriques qui serviront d’éléments de comparaison pour permettre l’identification d’un individu par une technique biométrique. Nous sommes donc en présence d’un fichier de données à caractère personnel particulièrement sensible, soumis à ce titre au contrôle de la Cnil.

Type de données biométriques utilisées. Les techniques biométriques reposent sur des procédés très divers : l’ADN, la rétine, l’iris, l’empreinte digitale, l’empreinte palmaire, la reconnaissance du réseau veineux du doigt, la reconnaissance faciale, la géométrie du contour de la main, la voix, l’écriture, etc.

Or, celles-ci peuvent porter atteinte aux droits fondamentaux s’il en résulte une surveillance généralisée des individus qui pourrait permettre de tracer chacun dans le monde réel. Ainsi, la mise en place de techniques de reconnaissance faciale dans les lieux publics (comme les aéroports, les stades, etc.) est susceptible de porter atteinte à la vie privée et à la liberté d’aller et de venir (voire à la liberté de croyance et de religion, la liberté de réunion, la liberté syndicale, etc.). De même, les empreintes digitales constituent des données biométriques morphologiques qui permettent d’identifier les traits physiques spécifiques propres à chaque individu.

Régime d’autorisation. C’est en 1997 que la Cnil a examiné son premier dispositif biométrique avec enregistrement des empreintes digitales dans une base de données. Depuis, la loi du 6 août 2004 soumet tous les dispositifs de traitements de données biométriques à l’autorisation de la Cnil et le nombre de demandes d’autorisation pour de tels systèmes ne cesse d’augmenter.

On rappellera que les  traitements de données à caractère personnel mis en œuvre pour le compte de l’État qui portent sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes sont, quant à eux, soumis à un décret en Conseil d’État, après avis de la Cnil. C’est ce qu’a eu l’occasion de rappeler le Conseil d’État, dans sa décision du 12 mars 2007[1], en annulant l’arrêté du ministère de l’Intérieur du 30 juillet 2006 qui autorisait la création du fichier informatisé des étrangers expulsables, dénommé Eloi[2]. Ce fichier était censé contenir des informations destinées à faciliter l’expulsion des personnes étrangères en situation irrégulière sur le territoire français. Saisi d’un recours à l’initiative de plusieurs associations (notamment SOS-Racisme, La Ligue des droits de l’Homme, le Syndicat de la magistrature), le Conseil d’État a rappelé qu’un tel traitement ne pouvait être mis en œuvre que par décret en Conseil d’État, après avis de la Cnil. Le ministère de l’Intérieur a donc réinitialisé la procédure, conformément aux exigences légales et le décret est paru le 26 décembre 2007 au Journal officiel. Il a immédiatement fait l’objet d’un deuxième recours à l’initiative d’associations de défense des droits de l’Homme qui s’inquiètent, de nouveau, des dérives possibles d’un tel dispositif.

Autorisation unique. La Cnil a admis que certains dispositifs de biométrie puissent bénéficier de formalités allégées ne nécessitant qu’une simple déclaration de conformité à une autorisation unique émise par la Cnil. Il s’agit, d’une part, des dispositifs de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire. Ils concernent ensuite les dispositifs reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail. Enfin, sont visés les dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail. Dans ces cas, une simple déclaration de conformité suffit. Elle peut être faite en ligne. On rappellera que le non-respect des formalités précitées expose à des peines de prison (5 ans) et d’amende (300 000 euros).

Biométrie à trace ou biométrie sans trace. La Cnil opère une distinction selon que le dispositif en cause est qualifié de « biométrie à trace » ou de « biométrie sans trace ». Est considéré comme « biométrie sans trace », le dispositif biométrique ne pouvant être capturé et copié à l’insu de la personne concernée. Ainsi, l’empreinte digitale constitue-t-elle une biométrie à trace, en ce que « chacun laisse des traces de ses empreintes digitales, plus ou moins facilement exploitables, dans beaucoup de circonstances de la vie courante », et que ces traces peuvent être réutilisées pour usurper l’identité d’une personne. En revanche, la reconnaissance du réseau veineux du doigt est une biométrie sans trace que la Cnil considère comme offrant une haute sécurité, les données biométriques de la personne concernée ne pouvant être capturées et copiées à son insu[3]. De même, la Cnil observe que les caractéristiques techniques d’un dispositif de reconnaissance vocale permettent de considérer qu’en l’état des connaissances sur la technologie utilisée, le gabarit de l’empreinte vocale de la personne ne constitue pas une donnée biométrique qui « laisse des traces » pouvant être utilisées à des fins d’identification des personnes[4].

Aussi, le contrôle de la Cnil est-il plus sévère lorsque l’empreinte est stockée sur un serveur ou au sein d’une base de données, que lorsqu’elle est enregistrée sur un support individuel exclusif (clé USB, carte à puce, Rfid[5]etc.).

Légitimité du dispositif. La Cnil juge de la légitimité du dispositif biométrique mis en œuvre au regard de ses propres critères. Ces conditions sont énumérées dans un guide[6] de la Cnil. Cette dernière, confrontée à un nombre croissant de demandes de mise en œuvre de dispositifs biométriques, a souhaité ainsi préciser ses critères d’appréciation, ainsi que les risques auxquels s’exposent les entreprises qui y ont recours  et les droits des employés.

1er critère : finalité du dispositif. Le dispositif doit être limité au contrôle de l’accès à une zone bien définie pour un nombre déterminé de personnes et ce, afin de protéger l’intégrité de personnes, de biens et d’installations, ou d’informations.

Il n’y a pas de difficulté, en principe, à obtenir de la Cnil des autorisations pour des dispositifs biométriques reposant sur la reconnaissance du contour de la main ou lorsque le gabarit de l’empreinte digitale est stocké dans un support individuel (carte à puce, clé USB) et non dans une base centralisée. La Cnil considère que ces technologies de reconnaissance biométrique présenteraient un danger moindre car elles ne laissent pas de traces susceptibles d’être captées à l’insu de la personne et d’être utilisées à des fins étrangères à la finalité initiale assignée au dispositif[7]. Aucune image n’est conservée, seule la clé biométrique, résultat du traitement des mesures par un algorithme, est associée à l’identité de la personne. Le dispositif ne laisse pas de traces susceptibles d’être utilisées à des fins étrangères à la finalité du traitement.

C’est au regard de ces critères que la Cnil a autorisé à plusieurs reprises la mise en place de dispositifs de reconnaissance de la morphologie de la main (pour le Musée du Louvre[8] ou encore pour accéder à la cantine scolaire du collège Joliot Curie de Carqueiranne)[9]. Elle a également autorisé des dispositifs d’empreintes digitales pour l’accès à des zones hautement sécurisées (notamment pour la Banque de France[10] ou pour contrôler l’accès aux zones de sûretés des aéroports d’Orly et de Roissy[11]). Elle a encore autorisé l’utilisation d’un dispositif d’accès par empreintes digitales pour un bloc opératoire dans un CHU confronté à des problèmes spécifiques d’intrusion liés au voisinage. On peut ainsi imaginer qu’un tel système soit utilisé afin de permettre un accès informatisé sécurisé des médecins aux dossiers médicaux de leurs patients.

2e critère : proportionnalité. Le dispositif doit être proportionné à la finalité préalablement définie, à raison des risques qu’il comporte en matière de protection des données à caractère personnel. Il doit être limité au contrôle de l’accès d’un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme tel que la protection de l’intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines informations (par exemple, l’accès à une centrale nucléaire ou encore à une cellule de vaccins). Il ne peut être installé que dans les cas où il est adapté aux risques encourus. Ainsi, si une solution alternative existe (par ex. : badge, RFID sans données biométriques), elle doit être privilégiée.

La Cnil a ainsi rendu des avis défavorables pour la mise en place de dispositifs biométriques pour accéder à une cantine scolaire[12] ou à des locaux professionnels (Urssaf en Corse[13]). Dans les cas visés, elle a considéré que la conservation des données biométriques permettait leur détournement à des fins étrangères à la finalité poursuivie, notamment à fin d’identification d’une personne à partir d’objets les plus divers qu’elle a pu toucher ou avoir en main.

3e critère : sécurité. Des garanties doivent être prises pour que le dispositif permette à la fois une authentification ou/et une identification fiable des personnes  et qu’il comporte toutes les garanties de sécurité pour éviter la divulgation des données. L’appréciation de la Cnil peut être sévère, comme l’illustre l’avis défavorable qu’elle a émis à la mise en place d’un dispositif de lecture de badges et d’empreintes digitales voulu par la préfecture de l’Hérault, considérant que la constitution d’une base de données biométriques ne se justifiait pas, l’identification par badge étant suffisante selon elle pour répondre à l’impératif de sécurité recherché. De même, elle a délivré un avis défavorable à la mise en place, par le centre hospitalier de Hyères, d’un dispositif de reconnaissance de l’empreinte digitale utilisé pour le contrôle des temps de travail des agents, considérant que les données biométriques étaient stockées non pas sur un support individuel, mais dans un lecteur biométrique sur lequel l’employé n’avait aucune maîtrise[14].

4e critère : l’information des personnes concernées. Elle doit se faire à la fois dans le respect de la loi informatique et liberté et du Code du travail. On retiendra, à titre de règle générale, que les personnes concernées doivent toujours être individuellement informées de la mise en œuvre des dispositifs biométriques, des modalités de leur droit d’accès aux données et de la finalité des mesures de contrôle.

Dispositif reposant sur la reconnaissance vocale. La Cnil a autorisé la mise en œuvre d’un traitement automatisé de données à caractère personnel reposant sur un procédé de reconnaissance vocale et ayant pour finalité la gestion et la réinitialisation des mots de passe utilisés pour accéder au système d’information de la société.

Le procédé repose sur la reconnaissance du gabarit de l’empreinte de la voix des employés. Il prévoit que, lors de la procédure d’enrôlement,  l’employé procédera à l’enregistrement du gabarit de son empreinte vocale grâce à la répétition de plusieurs couples de prénoms choisis aléatoirement parmi plus de 4 000 combinaisons possibles. Pour réinitialiser leur mot de passe informatique, les employés appelleront un serveur vocal. Lors de la réinitialisation d’un mot de passe, le dispositif procédera à une comparaison entre les mots répétés par l’utilisateur au profil de référence, c’est à dire au gabarit de l’empreinte vocale de la personne. Une fois que l’utilisateur a été correctement authentifié, l’application réinitialise le mot de passe et le communique à l’utilisateur. Les données seront conservées le temps de l’existence du compte informatique de l’employé.

Compte tenu des modalités de mise en œuvre du dispositif et notamment des moyens utilisés pour garantir la sécurité des données et prévenir tout risque d’usurpation d’identité ou d’utilisation des données pour d’autres finalités, la Cnil a considéré que le recours à la constitution d’une base de données de gabarit d’empreintes vocales aux fins de gérer les mots de passe informatique est adapté et proportionné à la finalité assignée au dispositif, au regard de la protection des données personnelles.


[1] CE, 12 mars 2007, no 298815

[2] Comme « éloignement ».

[3] Cnil, délib. nos 2007-335 à 2007-339, 8 nov. 2007

[4] Cnil, délib. no 2007-248, 13 sept. 2007

[5] Radio Frequency Identification : technologie permettant une identification à distance au moyen d’ondes électromagnétiques.

[6] Communication de la Cnil relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données.

[7] Ses séances des 21 juin et 5 juillet 2006

[8] Cnil, délib. no 01-006, 25 janv. 2001, portant avis sur un projet de décision présenté par l’établissement public du Musée du Louvre concernant un traitement de contrôle des accès et des horaires de certains personnels par la reconnaissance du contour de la main.

[9] Cnil, délib. no 02-070, 15 oct. 2002, portant avis sur le traitement automatisé d’informations nominatives, mis en œuvre par le collège Joliot Curie de Carqueiranne, destiné à contrôler l’accès au restaurant scolaire par la reconnaissance de la géométrie de la main

[10] Cnil, délib. no 97-044, 10 juin 1997, portant avis sur un projet d’arrêté présenté par la Banque de France concernant un traitement automatisé d’informations nominatives ayant pour finalité la gestion des contrôles d’accès des agents par empreintes digitales

[11] Cnil, délib. no 04-017, 8 avr. 2004, relative à une demande d’avis de l’établissement public Aéroports de Paris concernant la mise en œuvre d’un contrôle d’accès biométrique aux zones réservées de sûreté des aéroports d’Orly et de Roissy

[12] Cnil, délib. no 00-015, 21 mars 2000, portant avis sur le traitement automatisé d’informations nominatives, mis en œuvre par le collège Jean Rostand de Nice, destiné à gérer l’accès à la cantine scolaire par la reconnaissance des empreintes digitales

[13] Cnil, délib. no 02-045, 18 juin 2002, portant avis sur un projet de décision du directeur de l’Urssaf de la Corse relatif à la mise en œuvre d’un dispositif de reconnaissance de l’empreinte digitale destiné à contrôler les accès aux locaux professionnels de l’Urssaf

[14] Cnil, délib. no 04-018, 8 avr. 2004, relative à une demande d’avis présentée par le Centre hospitalier de Hyères concernant la mise en œuvre d’un dispositif de reconnaissance de l’empreinte digitale ayant pour finalité la gestion du temps de travail de ses personnels.

Autres publications