Attention à l’utilisation des serrures biométriques



Résumé : Si des clés, un code ou une carte électronique risquent d’être volés ou perdus, ce n’est pas le cas de la cartographie d’un système veineux ou du contour d’une main. Dès lors, pour simplifier la gestion des accès à une entreprise, à un système informatique ou à des locaux sensibles, il peut être tentant d’avoir recours à des verrous biométriques. Une solution efficace, mais dont le déploiement dans les entreprises est strictement encadré par la Commission nationale de l’informatique et des libertés (Cnil).

Différents matériels

Il existe différentes techniques biométriques permettant d’identifier une personne. Certaines sont encore expérimentales ou trop complexes à mettre en place (thermographie, ADN, étude de la démarche…), mais d’autres, basées sur l’analyse des empreintes digitales, de la forme du visage, du contour de la main, du système veineux des doigts ou encore de l’iris, sont déjà utilisées. Ainsi est-il possible de trouver dans le commerce des serrures équipées d’un lecteur biométrique permettant de contrôler les accès à un local, à un coffre-fort ou plus simplement à des ordinateurs fixes ou portables.

L’incontournable Cnil

Le principe est simple : tous les dispositifs de reconnaissance biométrique sont soumis à l’autorisation préalable de la Cnil. Par exception cependant, certains dispositifs biométriques peuvent être déployés après n’avoir effectué qu’une déclaration simplifiée auprès de la Cnil. Il s’agit, par exemple, de ceux permettant le contrôle des accès aux lieux de travail basés sur l’analyse du contour de la main ou du réseau veineux des doigts. Les autres nécessiteront l’obtention préalable d’une autorisation spécifique que la Cnil ne délivre qu’à l’issue d’une analyse rigoureuse se basant sur quatre principes :

- la finalité du traitement qui doit être précise (personnes concernées, usages, intérêt de recourir à un tel système) ;

- la proportionnalité existant entre cette finalité et la nécessaire protection de la vie privée des personnes fichées ;

- la sécurité autrement dit non seulement la fiabilité technique du système en termes d’identification des personnes mais aussi les garanties apportées pour éviter la divulgation des données personnelles des personnes fichées ;

- l’information des personnes concernées qui doit être réalisée dans le respect de la loi.

Le cas particulier des empreintes

La Cnil réserve un traitement spécifique aux dispositifs basés sur les empreintes digitales. Elle considère que dans la mesure où nous laissons nos empreintes sur tous les objets que nous touchons, ces dernières risquent d’être reproduites et réutilisées à notre insu. Aussi, seule l’utilisation des verrous à lecteur d’empreintes digitales ne stockant pas d’image (l’image de l’empreinte est alors stockée sur une carte en possession de l’utilisateur) ou des ordinateurs portables intégrant un lecteur d’empreinte est soumise à une déclaration simplifiée. En revanche, à partir du moment où le dispositif permet le stockage de l’image des empreintes (dans un fichier central présent sur un ordinateur de l’entreprise, par exemple), son utilisation nécessite alors l’accord préalable de la Cnil qu’elle ne délivrera que si elle identifie un « fort impératif de sécurité ».

Précisions : à titre d’exemple, l’utilisation d’un système de contrôle des empreintes digitales destiné à permettre l’accès à une entreprise de stockage et de livraison de bijoux en gros a été autorisée par la Cnil (délibération n° 2011-361 du 10 novembre 2011). En revanche, la mise en place d’un système équivalent pour pouvoir utiliser des postes informatiques chez un producteur de tabac a été refusée au motif que le traitement était inadapté et non proportionné au regard de la protection des données personnelles des personnes fichées (délibération n° 2008-397 du 6 novembre 2008).

La gestion des horaires

Depuis 2006, sur simple engagement de conformité auprès de la Cnil (autorisation unique AU-007), il était possible de mettre en place un dispositif basé sur la reconnaissance du contour de la main pour contrôler l’accès aux locaux de l’entreprise mais aussi pour gérer les horaires de travail et la restauration. Après consultation notamment des partenaires sociaux, la Cnil a mis fin à cette souplesse quant au contrôle des horaires. Ainsi, depuis mi-octobre 2012, l’employeur qui veut installer un système biométrique (quelle que soit la caractéristique biométrique utilisée) pour gérer les horaires de travail de ses salariés ne peut plus avoir recours à la procédure simplifiée et se trouve dans l’obligation de déposer auprès de la Cnil une demande d’autorisation préalable. Quant aux systèmes biométriques de gestion des horaires mis en place avant la réforme de l’autorisation unique AU-007, ils devront être remplacés dans les 5 ans.

Systèmes biométriques et réglementation Cnil

Voici un tableau récapitulatif des systèmes biométriques les plus couramment utilisés et de la réglementation Cnil qui leur est applicable :

Systèmes biométriques et réglementation CNIL
Système biométrique Utilisation Réglementation
Procédure simplifiée Procédure spécifique
Analyse du contour de la main Contrôle d’accès aux lieux de travail et de restauration collective Autorisation unique AU-007
Contrôle d’accès aux restaurants scolaires Autorisation unique AU-009
Autres utilisations Demande d’autorisation préalable
Analyse du réseau veineux des doigts ou de la main Contrôle d’accès aux lieux de travail Autorisation unique AU-019
Autres utilisations Demande d’autorisation préalable
Analyse des empreintes digitales (image de l’empreinte exclusivement enregistrée sur un support individuel) Accès aux locaux professionnels Autorisation unique AU-008
Autres utilisations Demande d’autorisation préalable
Analyse des empreintes digitales Déverrouillage d’un ordinateur portable Autorisation unique AU-027
Autres utilisations Demande d’autorisation préalable
Autres systèmes d’analyse (iris, empreintes palmaires, voix, forme du visage…) Toutes utilisations Demande d’autorisation préalable

N’hésitez pas à consulter les sites internets :

- Cnil : www.cnil.fr

- délibérations de la Cnil depuis 1979 : www.legifrance.gouv.fr (rubrique « Base de données »)

© Les Echos Publishing - 2013