Logo Éduscol

Biométrie

Page mise à jour le 20 octobre 2016

L’utilisation de la biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
 est très encadrée. Ce procédé de reconnaissance des personnes physiques nécessite de faire la balance entre les nécessités de sécurité, la recherche d’efficacité et le respect de la vie privée. En France, c’est la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
qui encadre l’utilisation des dispositifs biométriques.

Présentation

La biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
 consiste à définir et utiliser des mesures portant sur les éléments biologiques d’un individu sur la base d’une méthode de numérisation des caractéristiques de la personne : contour de la main, empreintes digitales, réseau veineux des doigts de la main, iris de l’œil, analyse de sang, contour du visage…

Elle fait l’objet de nombreux débats autour de questions telles que le respect de la dignité humaine, la protection de la vie privée, le principe de précaution.

Collecter les données biométriques de personnes, les enregistrer et les conserver n’est pas un acte anodin : cela doit répondre à une nécessité particulière, justifiée, et être entouré de garanties particulières.

C’est pourquoi l’utilisation de la biométrie est soumise à un cadre juridique particulier. Le régime légal de la biométrie distingue les traitements mis en œuvre :

  • pour le compte de l’État[1] : sont concernés les traitements « portant sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes ». Ces traitements doivent être autorisés par décret en Conseil d’État après avis motivé et publié de la CNIL. En milieu scolaire, un tel usage de la biométriebiométrie
    Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
    reste rare ;
  • par les autres responsables des traitements tant privés que publics[2] : sont concernés les traitements « automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». À la différence des traitements automatisés mis en œuvre par l’État, il est fait référence simplement au contrôle, sans mention de la fonction d’authentification par données biométriques.

L’encadrement de l’utilisation de la biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
, autrement que pour le compte de l’État, est assuré par la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
. C’est elle qui conformément à l’article 25-I 8 de la loi « Informatique et libertés » est chargée de délivrer des autorisations d’utilisation de traitements automatisés comportant des données biométriques. Ce type de traitement ne peut être mis en œuvre qu’après autorisation de celle-ci et est précisé ci-dessous.

Pour ce faire, la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
applique des critères précis :

  • la CNIL analyse notamment les circonstances particulières déterminant l'exigence d'identification des personnes par biométriebiométrie
    Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
     : un fort impératif de sécurité, une protection de l’intégrité physique des personnes, des biens et des installations, des informations ;
  • elle contrôle la proportionnalité entre la finalité et les risques en matière de protection des données et de la vie privée ;
  • elle contrôle les données traitées et leur mode de stockage. Elle distingue notamment les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (AU-052) et les dispositifs biométriques ne garantissant pas cette maîtrise (AU-053). Un « gabarit » biométrique désigne les mesures qui sont mémorisées lors de l'enregistrement des caractéristiques morphologiques (empreinte digitale, forme de la main, iris), biologiques (ADN, urine, sang) ou comportementales (démarche, dynamique de tracé de signature) de la personne concernée. Elle vérifie également que la donnée répond à quatre exigences :
    • elle est universelle c’est-à-dire qu’elle existe chez tous les êtres humains ;
    • elle est unique et donc suffisamment discriminante pour identifier une personne, au sein de la population visée par le traitement ;
    • elle est permanente : elle reste stable dans le temps ;
    • elle est accessible c’est-à-dire qu’elle peut être facilement prélevée.

      Par exemple, la CNILCNIL
      « La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
      La CNIL remplit des missions :
        * d’information générale ;
        * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
        * de recensement et de publication des fichiers déclarés ;
        * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
        * de proposition pour faire évoluer les réglementations.
      Contactez la CNIL pour :
        * les SMS frauduleux (tél. : 33700) ;
        * les spams insidieux (www.signal-spam.fr).
      a validé le traitement d’une empreinte digitale uniquement stockée dans un support individuel exclusivement détenu par la personne concernée, sans transiter sur un réseau ;
  • elle contrôle la sécurité ;
  • elle contrôle l’information des personnes concernées. Les personnes concernées par le dispositif biométrique (salariés, enseignants, élèves, etc.), doivent être clairement informées de ses conditions d’utilisation, de son caractère obligatoire ou facultatif, des destinataires des informations collectées et des modalités d’exercice de leurs droits d’opposition, d’accès et de rectification ;
  • elle vérifie que le traitement de données biométriques est nécessaire, c’est-à-dire qu’il répond à un impératif de sécurité, qu’il ne répond pas à un simple besoin de confort et que les locaux, applications ou appareils protégés sont particulièrement sensibles.

La politique de la CNIL est très stricte en matière d’autorisation. En 2015, La CNIL a rendu 359 autorisations en matière de dispositifs biométriques, ce qui est très peu.

Parmi les exemples d’autorisation de la CNIL, on peut citer :

  • un dispositif biométrique ayant pour finalité le contrôle de l’accès aux locauxprofessionnels[3] ;
  • un dispositif biométrique ayant pour finalité de garantir que seules les personnes habilitées pourront accéder au contenu des clés USB et ainsi de préserver la confidentialité des données qui y sont stockées[4] ;
  • un dispositif biométrique ayant pour finalité le contrôle de l’accès aux postes informatiques de certains personnels des services supports et contrôles des opérations de marché et ayant accès à des applications sensibles ainsi que de prévenir tout risque d’usurpation d’identité[5].

Dans certains cas, on peut recourir à une autre formalité que la demande d’autorisation : lorsqu’il existe une autorisation unique. Les autorisations uniques ont pour objet de simplifier les procédures administratives pour certains traitements fréquents dont la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
a jugé qu’ils présentaient peu de « risques en matière de protection des données et de la vie privée ».

Dans cette hypothèse, la légalisation du traitement de données biométriques se fait en envoyant simplement à la CNIL un engagement de conformité à l’autorisation unique correspondante, au lieu de passer par un processus plus complexe de demande d’autorisation. Il faut néanmoins être vigilant, car le traitement doit correspondre en tout point à la situation décrite dans l’autorisation unique à laquelle on recourt.

Il existe plusieurs délibérations de la CNIL portant autorisation unique dans le domaine de la biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
parmi lesquelles on peut citer l’autorisation unique AU-009[6] relative à « l'utilisation d'un dispositif de reconnaissance du contour de la main […] ayant pour finalité l'accès au restaurant scolaire ».

Concernant cette autorisation unique, la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
précise que :

  • les établissements du premier degré en sont exclus ;
  • les données relatives à l'identité de l'élève sont conservées pendant la durée de sa scolarité dans l'établissement ;
  • les personnes concernées ou leurs représentants légaux doivent être préalablement informés au moyen d’une note explicative ;
  • elles doivent être individuellement informées, par un moyen simple, de leur droit d’opposition et un moyen alternatif d’accès à la cantine doit être mis en place en cas d’opposition.

Illustration

Le tribunal de grande instance de Paris a jugé que le contrôle des horaires de travail n’est pas de nature à justifier la constitution d’une base de données d’empreintes digitales du personnel : « Le traitement pris dans son ensemble n’apparaissant ni adapté ni proportionné au but recherché », violant ainsi le Code du travail et la directive européenne 95/46/CE sur la protection des données personnelles qui prévoit qu’on ne peut porter atteinte aux libertés sauf si c’est justifié par la nature de la tâche à accomplir et proportionné au but recherché[7].

Astuce

Il est conseillé de réserver l’utilisation de la biométriebiométrie
Né au début du XXe siècle pour désigner l’étude statistique des populations animales ou humaines, ce terme désigne aujourd’hui, le plus souvent, une technique d’identification des personnes à l’aide du repérage précis d’une caractéristique biologique ou comportementale propre à chacun d’entre nous. Comme dans les enquêtes policières ou les dispositifs d’accès très sécurisés, on peut prouver l’identité d’une personne par ses empreintes digitales, les couleurs et les dessins de son iris, le réseau des vaisseaux sanguins de son doigt, les fréquences de sa voix ou les caractéristiques de l’écriture de sa signature.
 aux applications qui entrent dans le cadre d’une autorisation unique de la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
, celle-ci étant très restrictive pour l’octroi des autorisations ponctuelles.

Citations

« Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision unique les traitements reposant sur un dispositif de reconnaissance du contour de la main mis en œuvre par les établissements publics locaux d'enseignement du second degré et les établissements privés d'enseignement du second degré. […]

Les données relatives à l'identité de l'élève sont conservées pendant la durée de sa scolarité dans l'établissement. Les données relatives à l'identité des personnels sont conservées pendant la durée de leur affectation au sein de l'établissement. […]

L'information des élèves majeurs et des représentants légaux des élèves mineurs ainsi que des personnels sur l'identité du responsable du traitement, les finalités poursuivies, le caractère obligatoire ou facultatif des réponses à apporter, les conséquences éventuelles, à leur égard d'un défaut de réponse, les destinataires des données et l'existence d'un droit d'accès et de rectification aux données les concernant est assurée par la diffusion d'une note explicative, préalablement à la mise en œuvre du traitement. […]

Les élèves majeurs et les représentants légaux des élèves mineurs doivent être individuellement informés du droit de s'opposer, par un moyen simple, à l'informatisation des données biométriques les concernant ou concernant leurs enfants. En cas d'opposition à l'utilisation du dispositif biométrique, les élèves ont la possibilité de se voir délivrer un badge ou tout autre moyen d'accès à la cantine. L'information des représentants des parents d'élèves, des élèves et des personnels doit également être assurée lors des réunions des instances délibératives de l'établissement. »
(Délibération n° 2006-103 du 27 avril 2006)

En savoir plus…

Lien interne

Fiche « Données personnelles et monde éducatif ».

Lien externe

Site de la CNIL sur le contrôle d’accès biométrique sur les lieux de travail.

Texte réglementaire

Autorisation unique n° AU-009 - Délibération n° 2006-103 du 27 avril 2006 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire.

Jurisprudence

TGI Paris 19 avril 2005, comité d’entreprise Effia Service, syndicat Sud rail/Effia Services.

Cour administrative d’appel de Versailles 19 juin 2014 : la Cour administrative de Versailles rappelle que les personnes concernées par un traitement automatisé de données à caractère personnel doivent être individuellement informées. À défaut, les mesures prises sur le fondement du traitement leur sont inopposables. En l’espèce, une mesure disciplinaire avait été prise à l’encontre de l’agent d’une commune sur le fondement d’un dispositif biométrique de contrôle du temps de présence. La Cour administrative de Versailles a considéré que le défaut d’information sur le traitement de ses données rend inopposable à l’agent concerné les mesures prises en application de ce traitement.