Biométrie : la Cnil précise sa position en matière d’empreintes digitales

L’empreinte digitale est une biométrie à "trace". Mais qui nous dit que ces traces que nous laissons dans la vie courante sur divers supports, ne peuvent pas être capturées à notre insu pour être utilisées pour usurper notre identité. Alors, comment se protéger ?

Concrètement, de plus en plus d'entreprises pour des raisons de sécurité optent pour des outils de reconnaissance biométrique. Cependant et comme toujours, sécurité et liberté sont de faux amis.

Remarquons que les dispositifs biométriques relèvent de la compétence de la Cnil.

Cette dernière dans un guide qu'elle vient de rendre public,  précise les principaux critères sur lesquels elle se fonde pour autoriser ou refuser le recours à des dispositifs reposant sur la reconnaissance des empreintes digitales et leur stockage sur un terminal de lecture comparaison ou sur un serveur.

Cela lui permet aussi, d'une part, de rappeler les risques liés à cette technologie qui doit restée exceptionnelle ; et d'autre part, de mieux informer les salariés sur leurs droits, tout en permettant aux entreprises et administrations, toujours plus nombreuses à vouloir utiliser la biométrie, de se poser "les bonnes questions informatiques et libertés".

C'est pourquoi en pratique les dispositifs biométriques reposant sur la reconnaissance des empreintes digitales ne sont autorisés par la Cnil que lorsqu'ils répondent à "un fort impératif de sécurité", et satisfont aux quatre exigences suivantes :

-  La finalité du dispositif doit être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme tel que la protection de l'intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines informations ;

- Le système doit être proportionné à la finalité préalablement définie eu égard aux risques qu'il comporte en matière de protection des données à caractère personnel ;

- Le dispositif sécurisé doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données ;

- L'information des personnes concernées, réalisée dans le respect de la loi Informatique et libertés et, le cas échéant, du Code du travail.

C'est à la suite d'un examen attentif de l'ensemble de ces exigences que la Cnil se prononcera sur la mise en oeuvre des traitements qui lui sont soumis. Aucun critère préétabli n'est à lui seul déterminant.

Rappelons que c'est en 1997 que la CNIL a examiné son premier dispositif biométrique avec enregistrement des empreintes digitales dans une base de données, et depuis lors, le nombre de demandes d'autorisation pour de tels systèmes ne cesse de croître.