La CNIL suit la biométrie à la trace – PC INpact
Saisie
pour avis, la CNIL vient de mettre à nouveau son nez dans le secteur de
la biométrie. Elle a ainsi autorisé mi-janvier 2006, deux dispositifs
de contrôle d’accès à des cantines de lycée, reposant sur la
reconnaissance du contour de la main. En revanche, elle a refusé
d’autoriser quatre traitements de contrôle d’accès et de gestion des
horaires reposant sur la reconnaissance des empreintes digitales parce
qu’ils n’étaient motivés par aucun impératif particulier de sécurité.
Pourquoi
un tel double traitement ? La Commission Nationale de l’Informatique et
des Libertés explique qu’elle fait le distinguo entre la biométrie « à
traces » et la biométrie « sans traces ». Tout dépend ici si l’on a, ou
pas, la possibilité de récupérer une donnée biométrique à l’insu de la
personne et des réutilisations possibles.
Ainsi, le contour de
la main fait partie de la biométrie « sans traces » puisqu’elle ne peut
pas être utilisée à d’autres fins, hors la présence de la personne.
Elle suppose en pratique la comparaison de l’empreinte avec « l’image »
stockée sur une carte magnétique et « ne soulève [donc] pas de difficultés au regard des règles de protection des données ».
Six établissements scolaires utilisent auourd’hui ce procédé de
contrôle d’accès, et ce n’est sà»rement qu’un début. En guise de
garanties, les parents d’élèves doivent être individuellement informés
de la mise en Å“uvre et des modalités du système et en toute évidence,
ils peuvent toujours refuser l’informatisation des données biométriques
de leur(s) enfant(s). Au lycée de prévoir un plan B.
Dans le cas
des biométries « à traces », la Commission range les empreintes
digitales. Ainsi, le traitement sous une forme automatisée et
centralisée des empreintes est refusé. Pourquoi ? En raison des
caractéristiques de l’empreinte, des usages possibles de ces
traitements et des risques d’atteintes graves à la vie privées,
explique-t-on. Ce traitement sera accepté avec un contrôle de
proportionnalité, et seulement dans le cadre « d’exigences impérieuses en matière de sécurité ou d’ordre public.
» On pense par exemple aux titres d’identités. La Commission a donc
refusé trois contrôles d’accès basés sur l’empreinte digitale car « aucune circonstance particulière [ne justifiait] la conservation dans une base de données des empreintes des employés. »
La Commission a, de même, rejeté un dispositif de contrôle des horaires
dans une clinique, reposant sur le traitement des empreintes digitales,
dans une base de données. Pour la CNIL, « l’objectif d’une
meilleure gestion des temps de travail, s’il est légitime, ne justifie
pas, en lui-même, l’enregistrement dans un lecteur biométrique des
gabarits des empreintes digitales des employés. »