Reconnaissance vocale, la CNIL dit oui à Michelin
Michelin a saisi la CNIL d'une demande d'autorisation pour la mise en œuvre d'un traitement automatisé de données à caractère personnel reposant sur un procédé de reconnaissance vocale.
Un dispositif de reconnaissance vocale peut servir à sécuriser ou faciliter la gestion et la réinitialisation des mots de passe utilisés pour accéder au système d'information d'une société.
Ce procédé permet alors de générer et de réinitialiser automatiquement des mots de passe et repose sur la reconnaissance du gabarit de l'empreinte de la voix des employés : la voix est numérisée puis segmentée par unités échantillonnées.
En droit, l'article 25-8° de la loi du 6 janvier 1978 modifiée soumet à autorisation de la CNIL les traitements comportant des données biométriques nécessaires au contrôle de l'identité des personnes.
En pratique, il s'agissait de mettre à la disposition des salariés de Michelin un dispositif automatique destiné à sécuriser et à faciliter la gestion et la réinitialisation des mots de passe utilisés pour accéder au système d'information de la société Michelin reposant sur la reconnaissance du gabarit de l'empreinte de la voix du personnel.
Concrètement la procédure comprend 5 phases :
1. L'employé procède à l'enregistrement de sa voix en répétant plusieurs couples de prénoms choisis aléatoirement parmi plus de 4000 combinaisons possibles.
2. Pour réinitialiser leur mot de passe informatique, il doit appeler un serveur vocal.
3. Lors de la réinitialisation d'un mot de passe, le dispositif procède à une comparaison entre les mots répétés par l'utilisateur au profil de référence, c'est à dire au gabarit de son empreinte vocale
4. Une fois qu'il a été correctement authentifié, l'application réinitialise le mot de passe et le lui communique.
5. Ces données sont conservées le temps de l'existence de son compte informatique.
La Commission s'est assurée de la bonne information des employés et que toutes les mesures étaient prises pour garantir la sécurité des données et prévenir les risques d'usurpation d'identité. Soulignons, ici, que le gabarit de l'empreinte vocale d'une personne ne semble pas constituer pas une donnée biométrique qui "laisse des traces" pouvant être utilisées à identifier les personnes.
En outre, les données à caractère personnel enregistrées par Michelin concernent l'identité et l'identifiant de ses employés, et, le destinataire des informations est, dans la limite de ses attributions, le responsable informatique.
Par conséquent, avant d'autoriser la mise en oeuvre du traitement reposant sur la reconnaissance vocale de Michelin, la CNIL s'est assurée de la bonne information des employés et que toutes les mesures étaient prises pour garantir la sécurité des données et prévenir les risques d'usurpation d'identité.
Or, c'était le cas. Michelin a donc le droit d'utiliser son dispositif de reconnaissance vocale ,et, il faut le souligner, c'est la première fois que la CNIL l'autorise. La biométrie avance en entreprise...