Logo Éduscol

Biométrie

Page mise à jour le 01 juillet 2013

L’utilisation de la biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
est très encadrée et doit être justifiée par des circonstances exceptionnelles. La CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
a une politique très restrictive pour l’octroi d’autorisation d’utilisation de données biométriques. Il existe une exception à ces demandes d’autorisation qui est de rentrer dans le champ d’une autorisation unique de la CNIL.

Présentation

La biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
consiste à définir et utiliser des mesures portant sur les éléments biologiques d’un individu sur la base d’une méthode de numérisation des caractéristiques de la personne.

Elle fait l’objet de nombreux débats autour de questions telles que le respect de la dignité humaine, la protection de la vie privée, le principe de précaution.

Collecter les données biométriques de personnes, les enregistrer et les conserver n’est pas un acte anodin : cela doit répondre à une nécessité particulière, justifiée, et être entouré de garanties sérieuses.

C’est pourquoi l’utilisation de la biométrie est soumise à un cadre juridique particulier. Le régime légal de la biométrie distingue les traitements mis en œuvre :

  • pour le compte de l’État[1] : sont concernés les traitements « portant sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ». Ces traitements doivent être autorisés par décret en Conseil d’État après avis motivé et publié de la CNILCNIL
    « La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
    La CNIL remplit des missions :
      * d’information générale ;
      * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
      * de recensement et de publication des fichiers déclarés ;
      * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
      * de proposition pour faire évoluer les réglementations.
    Contactez la CNIL pour :
      * les SMS frauduleux (tél. : 33700) ;
      * les spams insidieux (www.signal-spam.fr).
     ;
  • par les autres responsables des traitements tant privés que publics[2] : sont concernés les traitements « automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». À la différence des traitements automatisés mis en œuvre par l’État, il est fait référence simplement au contrôle, sans mention de la fonction d’authentification par données biométriques.

L’encadrement de l’utilisation de la biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
, autrement que pour le compte de l’État, est assuré par la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
. Ce type de traitement ne peut être mis en œuvre qu’après autorisation de celle-ci.

Pour ce faire, la CNIL applique des critères précis :

  • elle contrôle la finalité du traitement. Les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. La CNIL analyse donc les circonstances particulières déterminant l'exigence d'identification des personnes par biométrie : un fort impératif de sécurité, une protection de l’intégrité physique des personnes, des biens et des installations, des informations ;
  • elle contrôle la proportionnalité entre la finalité et les risques en matière de protection des données et de la vie privée ;
  • elle contrôle les données traitées et leur mode de stockage. Par exemple, la CNIL a validé le traitement d’une empreinte digitale uniquement stockée dans un support individuel exclusivement détenu par la personne concernée, sans transiter sur un réseau ;
  • elle contrôle la sécurité. En effet, si le recours à l’empreinte digitale, technique « à traces », est très performant en matière d’identification des personnes, cette technique demeure risquée en termes d’usurpation d’identité, ce qui justifie que son usage soit encadré ;
  • elle contrôle l’information des personnes concernées. Les personnes concernées par le dispositif biométrique (salariés, enseignants, élèves, etc.), doivent être clairement informées de ses conditions d’utilisation, de son caractère obligatoire ou facultatif, des destinataires des informations collectées et des modalités d’exercice de leurs droits d’opposition, d’accès et de rectification.

La politique de la CNIL est très stricte en matière d’autorisation. La CNIL a rendu plus de 250 décisions en matière de dispositifs biométriques.

Parmi les exemples d’autorisation de la CNIL, on peut citer :

  • un dispositif biométrique ayant pour finalité le contrôle de l’accès aux locaux[3] ;
  • un dispositif biométrique ayant pour finalité de garantir que seules les personnes habilitées pourront accéder au contenu des clés USB et ainsi de préserver la confidentialité des données qui y sont stockées[4] ;
  • un dispositif biométrique ayant pour finalité le contrôle de l’accès aux postes informatiques de certains personnels des services supports et contrôles des opérations de marché et ayant accès à des applications sensibles ainsi que de prévenir tout risque d’usurpation d’identité[5].

Il existe une possibilité de déroger au régime d’autorisation de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
: lorsqu’il existe une autorisation unique. Les autorisations uniques ont pour objet de simplifier les procédures administratives pour certains traitements fréquents dont la CNIL a jugé qu’ils étaient conformes à la loi informatique et libertés.

Dans cette hypothèse, la légalisation du traitement de données biométriques se fait en envoyant simplement à la CNIL un engagement de conformité à l’autorisation unique correspondante, au lieu de passer par un long processus de demande d’autorisation. Il faut être néanmoins vigilant, car il faut que le traitement corresponde en tout point à l’une des situations décrites dans les autorisations uniques.

Il existe cinq délibérations de la CNIL portant autorisation unique dans le domaine de la biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
 :

  • du contour de la main pour assurer le contrôle d’accès aux lieux de travail et de restauration collective, ainsi que la gestion des horaires (autorisation unique AU-007[6]) ;
  • de l’empreinte digitale exclusivement enregistrée sur un support individuel pour contrôler l’accès aux locaux professionnels (autorisation unique AU-008[7]) ;
  • du contour de la main pour assurer le contrôle d’accès au restaurant scolaire (autorisation unique AU-009[8]) ;
  • du réseau veineux des doigts de la main pour contrôler l’accès aux locaux sur les lieux de travail (autorisation unique AU-019[9]) ;
  • les ordinateurs portables professionnels intégrant des lecteurs d’empreintes digitales (autorisation unique n° AU-027[10]).

Illustration

Le tribunal de grande instance de Paris a jugé que le contrôle des horaires de travail n’est pas de nature à justifier la constitution d’une base de données d’empreintes digitales du personnel : « Le traitement pris dans son ensemble n’apparaissant ni adapté ni proportionné au but recherché », violant ainsi le Code du travail et la directive européenne 95/46/CE sur la protection des données personnelles qui prévoit qu’on ne peut porter atteinte aux libertés sauf si c’est justifié par la nature de la tâche à accomplir et proportionné au but recherché[11].

Concernant plus spécifiquement l’autorisation unique sur le « contour de la main et la restauration scolaire », la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
apporte de nombreuses précisions :

  • « Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision unique les traitements reposant sur un dispositif de reconnaissance du contour de la main mis en œuvre par les établissements publics locaux d'enseignement du second degré et les établissements privés d'enseignement du second degré. [NDLR : autorisation unique n° AU-009] » Ceci exclut donc les écoles.
  • « Les données relatives à l'identité de l'élève sont conservées pendant la durée de sa scolarité dans l'établissement. Les données relatives à l'identité des personnels sont conservées pendant la durée de leur affectation au sein de l'établissement. [NDLR : autorisation unique n° AU-009] »
  • « L'information des élèves majeurs et des représentants légaux des élèves mineurs ainsi que des personnels sur l'identité du responsable du traitement, les finalités poursuivies, le caractère obligatoire ou facultatif des réponses à apporter, les conséquences éventuelles, à leur égard d'un défaut de réponse, les destinataires des données et l'existence d'un droit d'accès et de rectification aux données les concernant est assurée par la diffusion d'une note explicative, préalablement à la mise en œuvre du traitement. [NDLR : autorisation unique n° AU-009] »
  • « Les élèves majeurs et les représentants légaux des élèves mineurs doivent être individuellement informés du droit de s'opposer, par un moyen simple, à l'informatisation des données biométriques les concernant ou concernant leurs enfants. En cas d'opposition à l'utilisation du dispositif biométrique, les élèves ont la possibilité de se voir délivrer un badge ou tout autre moyen d'accès à la cantine. L'information des représentants des parents d'élèves, des élèves et des personnels doit également être assurée lors des réunions des instances délibératives de l'établissement. [NDLR : autorisation unique n° AU-009] »

Astuce

Il est conseillé de réserver l’utilisation de la biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
aux applications qui entrent dans le cadre d’une autorisation unique de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
, celle-ci étant très restrictive pour l’octroi des autorisations ponctuelles.

Citations

 « Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision unique les traitements reposant sur un dispositif de reconnaissance du contour de la main mis en œuvre par les établissements publics locaux d'enseignement du second degré et les établissements privés d'enseignement du second degré. »

« Les données relatives à l'identité de l'élève sont conservées pendant la durée de sa scolarité dans l'établissement. Les données relatives à l'identité des personnels sont conservées pendant la durée de leur affectation au sein de l'établissement. »

« L'information des élèves majeurs et des représentants légaux des élèves mineurs ainsi que des personnels sur l'identité du responsable du traitement, les finalités poursuivies, le caractère obligatoire ou facultatif des réponses à apporter, les conséquences éventuelles, à leur égard d'un défaut de réponse, les destinataires des données et l'existence d'un droit d'accès et de rectification aux données les concernant est assurée par la diffusion d'une note explicative, préalablement à la mise en œuvre du traitement. »

« Les élèves majeurs et les représentants légaux des élèves mineurs doivent être individuellement informés du droit de s'opposer, par un moyen simple, à l'informatisation des données biométriques les concernant ou concernant leurs enfants. En cas d'opposition à l'utilisation du dispositif biométrique, les élèves ont la possibilité de se voir délivrer un badge ou tout autre moyen d'accès à la cantine. L'information des représentants des parents d'élèves, des élèves et des personnels doit également être assurée lors des réunions des instances délibératives de l'établissement. »
 

En savoir plus…

Lien interne

Texte réglementaire

Jurisprudence