Journal du Net > Solutions > Sécurité >  Sécurité > Exigences CNIL / biométrie
Actualité
 
02/01/2008

La CNIL impose 4 pré-requis à la biométrie par empreintes digitales

Biométrie des empreintes avec base de données centralisée : Un guide public de la CNIL énumère les 4 exigences à respecter par les entreprises et administrations pour obtenir son autorisation.
  Envoyer Imprimer  

 
En savoir plus
 
 
 

La reconnaissance de l'individu par des caractéristiques physiques comme les empreintes digitales a peu à peu gagné en maturité. D'autres techniques d'identification se sont développées, parmi lesquelles notamment la biométrie de l'iris, du système veineux de la main ou de son contour. Néanmoins, la reconnaissance par les empreintes digitales demeure la méthode présentant - dans la majorité des cas - le taux d'erreur le plus faible.

En France, les autorisations pour la mise en place de dispositifs biométriques sont délivrées par la Commission nationale de l'informatique et des libertés (CNIL). Dix années après avoir examiné son premier dispositif biométrique avec enregistrement des empreintes digitales dans une base de données, la Cnil publie un guide public.

Celui-ci liste les principaux critères auxquels doivent se conformer entreprises et administrations pour obtenir la validation de la Cnil. Le guide se destine également aux salariés avec l'optique de mieux les informer sur leurs droits vis-à-vis d'une technologie dont la Cnil rappelle que son utilisation doit rester exceptionnelle.

Postulat de départ : la biométrie par empreintes digitales avec stockage des captures dans une base de données doit impérativement répondre à un fort impératif de sécurité. Sans cela, les techniques sans trace (iris, contour de la main, …) doivent être préférées. Sont donc exclus les dispositifs de pointage des salariés ou l'accès à un réfectoire d'entreprise. Cette politique d'encadrement se décompose en quatre exigences, qui si elles ne sont pas respectées verront le dossier être invalidé.

32 des 53 dossiers autorisés par la Cnil en 2007

La finalité du dispositif d'abord. L'exploitation de la biométrie par les empreintes est limitée au contrôle d'accès d'un nombre restreint de personnes à une zone déterminée pour laquelle il est impératif d'établir des contrôles stricts : accès à une centrale nucléaire, à une cellule de production de vaccins ou à un site Seveso II, cite notamment comme exemple la Cnil.

Deuxième exigence : la proportionnalité. Le système envisagé par l'entreprise ou l'administration est-il adapté à la finalité et au niveau de risque ? Exigence suivante : la sécurité. La Cnil définit un dispositif conforme comme permettant "à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données".

Enfin, l'entreprise avant soumission de son dossier devra s'assurer que celui-ci est respectueux de la loi informatique et libertés, mais aussi le cas échéant du Code du travail. Selon la Cnil, la demande d'autorisation pour de systèmes biométriques ne cesse de croître. En 2007, elle a ainsi eu à se prononcer sur 602 traitements biométriques.

 
En savoir plus
 
 
 

Parmi ceux-ci, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données. La Cnil en a autorisés plus de la moitié (32). Les autres systèmes soumis à la Commission concernaient essentiellement des procédés de reconnaissance du contour de la main, définis comme ne laissant pas de traces, contrairement à l'ADN et les empreintes digitales.

 


JDN Solutions Envoyer Imprimer Haut de page

Sondage

Recourir à un service cloud comme unique solution de stockage de fichiers, vous y croyez ?

Tous les sondages