L'authentification biométrique en entreprise : une techno simple, un juridique compliqué

L'authentification biométrique en entreprise : une techno simple, un juridique compliqué La démocratisation des capteurs d'empreintes sur les téléphones contribue à populariser les solutions d'authentification biométriques. Mais attention, les données biométriques sont sensibles et la Cnil veille.

L'authentification biométrique ne fait plus aussi peur qu'avant. La démocratisation de ces outils sur les téléphones, que ce soit les mécanisme de reconnaissance faciale ou les capteurs d'empreinte, a aujourd'hui rendu ce mode d'authentification auparavant confidentiel bien plus facile à accepter pour les utilisateurs. Une entreprise pourrait donc être tenté d'avoir recours à ce type de solution pour ses employés, afin de se débarrasser par exemple des mots de passe. Mais ce grand saut vers le biométrique ne doit pas se faire n'importe comment. 

Trouver le bon gabarit

Dans la plupart des cas, quand on parle d'authentification biométrique, on parle d'un système d'authentification basé sur "des données qui résultent d'un traitement technique sur des données relatives à des caractéristiques physiques, physiologiques ou comportementales d'une personne" , résume Irène Baudu, juriste au service des affaires économiques de la Cnil

Le traitement biométrique va conserver en mémoire des "gabarits", c'est-à-dire une représentation mathématique simplifiée des caractéristiques de l'utilisateur, qu'il s'agisse de ses iris, de son visage ou de ses empreintes digitales pour citer les méthodes les plus couramment utilisées. Lorsque l'utilisateur pose son doigt sur un capteur d'empreinte, le système d'authentification se charge de comparer l'empreinte relevée avec le gabarit de référence du système. Et si la comparaison correspond, alors le système accorde l'accès.

La fiabilité de ces outils biométriques a considérablement évolué au cours des dernières années, notamment via des améliorations sur les techniques de gabarit et de reconnaissance de ceux-ci. Et en la matière, chaque fournisseur a son approche : "La plupart des gabarits sont propriétaires. C'est un facteur de différenciation pour nous", confirme Vincent Bouatou, CTO d'Idemia IPS, société française en pointe dans le domaine. 

En parallèle de cela, les fournisseurs ont également développé de nombreuses technologies pour venir contrecarrer les attaques possibles contre ce type d'authentification. Ainsi, si en 2013 le Chaos Computer Club se vantait de pouvoir contourner les capteurs d'empreintes d'Apple grâce à de faux doigts, de nombreuses avancées technologiques visent aujourd'hui à parer ce type d'attaque :"On peut chercher à mesurer d'autres données, par exemple via des capteurs infrarouges, pour s'assurer qu'on ne nous présente pas une simple image d'un visage. Ou mesurer la température de la peau, ou les réactions de l'iris à un stimuli" liste Vincent Bouatou. Il y a même une norme ISO à ce sujet.

Mais si la technologie d'authentification biométrique est aujourd'hui beaucoup plus fiable et plus communément acceptée qu'auparavant, quels sont les freins qui retiennent encore son développement ?

Contraintes réglementaires

Le cadre législatif est peut être une piste. Du côté de la Cnil, on rappelle que l'arrivée en 2018 du RGPD a permis d'alléger les obligations encadrant ce type de dispositif. Il n'est plus nécessaire d'obtenir la validation de la Cnil avant le déploiement d'un projet d'authentification biométrique, mais la réglementation demande d'être bien comprise pour éviter de déchanter au premier contrôle venu. "Le principal sujet d'incompréhension, c'est celui du stockage des données biométriques", résume Irène Baudu." De nombreuses entreprises vont avoir envie de recourir à une base de données centralisées contenant les gabarits des personnes autorisées. Mais c'est réservé à des cas d'usage très spécifiques". 

La réglementation accorde en effet une importance particulière au fait que l'utilisateur doit pouvoir garder le contrôle sur ses données biométriques, considérées comme particulièrement sensibles. Sur le sujet, la Cnil a publié en 2019 un règlement visant à encadrer les contrôles d'accès biométriques sur les lieux de travail, à prendre ici au sens large puisqu'il concerne à la fois la sécurisation des lieux physiques et les accès au système d'information. Des règles qui s'appliquent uniquement au monde de l'entreprise : les dispositifs commercialisés par des acteurs comme Apple à travers FaceID ou TouchID bénéficient en effet d'une exemption domestique, partant du principe que l'utilisateur n'est pas contraint d'utiliser ces fonctionnalités. 

La base de données centralisée : exception plutôt que règle

Dans la majorité des cas, les entreprises qui souhaitent donc avoir recours à des solutions biométriques doivent donc avoir recours à des solutions permettant le stockage des gabarits dans des terminaux dédiés, détenus et contrôlés par l'utilisateur. C'est notamment le choix fait par Thales : "Dans notre cas de figure, la donnée biométrique est stockée directement sur la carte et n'en sort jamais. La comparaison se fait directement sur l'appareil", explique David Noel-Lardin, expert en authentification chez Thales. Une approche qui présente l'avantage d'être en conformité avec les grands principes de la régulation, mais qui complexifie également le processus : "Cela demande généralement une attention particulière au moment de l'enregistrement des utilisateurs". 

Pour les approches reposant sur les bases de données, il faudra être en mesure de justifier de bonnes raisons pour pouvoir les mettre en œuvre. "Par exemple, ce type de dispositif peut être envisagé dans le cas de salles blanches ou de bloc opératoire, ou il serait impossible d'amener un terminal dédié sans risquer de ramener des germes" explique Thibaud Antignac, adjoint au chef de service de l'expertise technologique de la Cnil. Mais en dehors de ces cas très spécifiques, difficile de justifier le recours à une méthode s'appuyant sur une base centralisée. 

"Cette complexité réglementaire est le frein principal" pour les entreprises qui souhaitent déployer des systèmes d'authentification biométrique, selon Vincent Bouatou. " Lorsque vous êtes contraints d'avoir une approche demandant l'authentification biométrique associée à un badge, vous augmentez certes la sécurité du système mais vous ne simplifiez pas l'expérience du client", explique le CTO d'Idemia, qui rejette la faute sur un RGPD, jugé "un peu archaïque  vis-à-vis du règlement Intelligence Artificielle".