Préventica - Maitrise des risques et qualite de vie au travail
LE MAGAZINE
 
 ESPACE PRESSE PARTENAIRES ESPACE EMPLOI NEWSLETTER


Revue de presse Dossiers Paroles d'experts Solutions Agenda Annuaire

 

Dossier thématique

Biométrie, une solution de sûreté


La sûreté et la sécurité sont des préoccupations réelles des entreprises, désireuses de se protéger des dangers ou menaces de l’extérieur, de garantir la sécurité de leur personnel et des populations environnantes. De nombreuses démarches peuvent être menées dans ce sens au sein d’un établissement, que se soit par une sélection attentive des employés (notamment ceux chargés des systèmes informatiques ou travaillant dans des secteurs sensibles), l’installation de systèmes de vidéosurveillance ou de contrôle d’accès, biométrie notamment.
La biométrie est une technique d’analyse des caractéristiques biologiques, physiques ou comportementales de l’individu, visant à établir son identité, résumée en une empreinte numérique. Ainsi, les fichiers et les technologies de l’information et de la communication évoluent dans la « mise en chiffres » du corps humain. Mais jusqu’ou va-t-on aller ? Quelles sont les limites d’un tel système ?


Surete des batiments Protection, surveillance, sûreté : des enjeux pour les entreprises

Un contexte favorable au développement de la biométrie

La biométrie renvoie facilement aux films de science-fiction, aux séries policières américaines, par une identification via des empreintes digitales, une analyse éclaire de l’iris, ou du réseau veineux de la main. Elle est pourtant en plein développement en France et dans le monde afin de répondre à un souci de sûreté grandissant.
C’est dans le milieu militaire et policier que la biométrie a fait ses premiers pas. Elle est aujourd’hui sollicitée en France dans de nombreux projets comme la gestion des flux dans les aéroports, la mise en place d’une carte d’identité et d’un passeport biométriques, dont l’intérêt s’inscrirait dans la lutte contre la fraude de faux papiers. Le recours à la biométrie a été mis en avant dans les aéroports le 11 septembre 2001. Depuis 2005, les États-Unis ont imposé l’acquisition de deux empreintes digitales et du visage pour tous les visiteurs étrangers.
Les marchés gouvernementaux sont des moteurs du développement de l’industrie de la biométrie, encourageant d’une certaine façon les marchés industriels et commerciaux à s’y intéresser.
Le contexte géopolitique a donc été un des facteurs favorables au développement de ce système de sûreté. Mais la mondialisation, la globalisation des flux et échanges en sont d’autres, plus en accord avec le monde des entreprises.
En effet, le monde connaît aujourd’hui une croissance de tous les types de communication et d’échanges. La mobilité humaine est en plaine croissance et tous les jours environ 8 millions de passagers dans le monde circulent dans les couloirs aériens. Les connexions internet de la même manière sont en constante augmentation. À ces interactions croissantes se joignent des problèmes liés aux falsifications d’identité, aux intrusions dans les systèmes informatiques et les zones sensibles des entreprises, aux vols et à la malveillance.
Les entreprises veulent protéger leurs salariés comme leurs biens matériels ou immatériels et pour cela se tournent vers les systèmes biométriques. Ils permettent de répondre au problème de la vérification d’identité tel qu’il est rencontré dans la global network society.


Menaces ciblées et clients potentiels des systèmes biométriques

Les entreprises se sont intéressées aux systèmes biométriques pour protéger leurs bâtiments (dans leur intégralité ou pour des zones spécifiques), leurs personnels ou leurs données informatisées. La biométrie peut ainsi être utilisée à des fins de protection des biens et des personnes.

- Sélection des personnes habilitées à accéder à un site,
- Protection des opérateurs (machines ou zone dangereuses)
- Détection d’intrusions,
- Réduction du risque chimique ou biologique (zones à risques),
- Concernant les entreprises implantées à l’étranger, prévention du risque terroriste.

Dans un objectif de protection des données de l’entreprise, la biométrie appliquée aux postes informatiques et aux systèmes d’information limite l’accès aux systèmes et données confidentielles. Elle permet ainsi de les protéger, de réduire les risques d’espionnage industriel (détournement des informations, du capital intellectuel de l’entreprise) et de destruction des données.

Parallèlement à cette préoccupation de protection des biens matériels et immatériels de l’entreprise, la biométrie participe aussi à la sécurité des personnels et devient un instrument de lutte contre les risques au travail. En effet, en limitant l’accès à des zones sensibles, présentant par exemple un risque biologique ou chimique, la biométrie permet de protéger les employés de certains risques sanitaires. Un système biométrique peut aussi être mis en place autour de certains appareils jugés dangereux, renforçant de cette manière la sécurité autour des machines. Leur utilisation est alors limitée aux seules des personnes qualifiées, habilitées à le faire. Ce dispositif permet de réduire les risques d’accident du travail, parfois lourds de conséquences.

Un certain panel d’entreprises peut ainsi se sentir concerné par l’utilisation de la biométrie au travail. Sont en première ligne, les entreprises ayant des activités sensibles, à l’instar de l’armement ou du nucléaire. Il est évident que dans ces secteurs, les entrées et sorties des bâtiments ainsi que les déplacements à l’intérieur de ceux-ci doivent être contrôlés. Mais la biométrie peut aussi concerner les entreprises disposant d’importants départements R&D : industries pharmaceutiques, aéronautiques, automobiles, informatiques…

Le recours à la biométrie en matière de sûreté et de sécurité est-il réellement partagé par les entreprises françaises ? La CDSE a publié une enquête portant sur les enjeux des directeurs de sécurité d’entreprise pour l’année 2010. Quatre-vingts directeurs de sécurité sélectionnés dans les SB120 ont répondu au sondage. Il en ressort que la sécurisation des bâtiments par des technologies comme la biométrie n’est considérée comme une préoccupation que pour 18.2 % d’entre eux. Plusieurs raisons expliquent cette faible présence de la biométrie dans les enjeux des directeurs de sécurité. Selon la CDSE dans un contexte de réduction des coûts, l’installation de cet outil souvent onéreux ne semble pas être une priorité. S’y ajoute le fait que ces dispositifs « high-tech » ont une efficacité encore discutable et que leur mise en place soit freinée par des contraintes juridiques importantes.
Quels sont réellement les avantages de la biométrie et les démarches à adopter pour installer un système biométrique dans son établissement ?


Caractéristiques et démarches de la biométrie

Les avantages de la biométrie

L’avantage souvent mis en avant à propos des systèmes biométriques est leurs substitutions aux mots de passe et codes d’accès. En effet, un employé travaillant dans une grande entreprise devra au cours de la journée employer un certain nombre de codes, permettant d’accéder à différents services ou postes. Ces codes, dans un souci de plus grande sécurité, peuvent être changés régulièrement. L’intérêt de ses limitations d’accès est d’échapper aux systèmes de décodage. Mais le maillon faible de ce dispositif semble être l’homme.
Il est ainsi fréquent qu’un salarié oublie un mot de passe et ne puisse accéder temporairement à certains aspects de son travail. Pour ne pas être confronté à une telle situation, l’employé sera tenté d’écrire le code sur un support informatique ou papier : cette pratique nuit évidemment à la sauvegarde de la confidentialité. Ce système de mots de passe peut parfois s’avérer être une protection insuffisante lorsqu’il est appliqué à des secteurs sensibles.
Un système biométrique peut aussi remplacer les badges. Dans certains établissements, des zones, des secteurs sont protégés par des systèmes utilisant le badge : or, ceux-ci peuvent être utilisés par d’autres personnes non autorisées à pénétrer dans le secteur concerné.
La biométrie s’avère être une alternative à cette faiblesse dans le dispositif de sûreté : elle permet une authentification sûre, car elle reconnaît non pas un objet, mais la personne elle-même. La biométrie simplifie les procédures en supprimant badges, cartes, codes, en ne réclamant qu’un seul identifiant, le corps humain.
Elle peut-être mise en place autour et à l’intérieur du bâtiment, mais aussi être adaptée à internet et ainsi filtrer l’accès aux sites commerciaux et aux intranets. Cette multiplicité de supports et d’applications est un autre avantage de la biométrie appliquée à l’entreprise.

Quel système biométrique choisir ?

Il existe de nombreux systèmes biométriques, mais il est possible de distinguer trois grandes
familles :

- celle relevant d’analyses biologiques (odeur, sang, salive, urine, ADN…),
- celles relevant d’analyses comportementales,
- Enfin, celles relevant d’analyses morphologiques.

Les biométries morphologiques sont celles qui connaissent le plus grand déploiement dans les entreprises. L’identification à partir des empreintes digitales est la plus courante. L’empreinte est unique et immuable. Ses caractéristiques peuvent être numérisées. La reconnaissance de la personne se fait par le passage du doigt sur le lecteur, qui contrôle ensuite la validité de l’empreinte par la comparaison de points prédéfinis. Des limites existent néanmoins : empreinte modifiée par une brûlure, une coupure ou l’utilisation de produits corrosifs. Les lecteurs d’empreintes peuvent être combinés avec la carte à puce : l’empreinte est stockée dans le circuit intégré de cette dernière et la lecture s’effectue directement dans l’ordinateur.
L’iris, du fait de ses caractéristiques propres, collerette, cryptes, tâches pigmentaires…, permettant de distinguer indéniablement un individu, constitue un autre support biométrique efficace. La fixation de l’objectif d’une caméra balayant l’iris permet la reconnaissance.
La reconnaissance veineuse se fait, quant à elle, à partir de la lecture de la paume de la main. Contrairement aux empreintes qui peuvent se modifier, le réseau veineux de la main s’avère être le plus fiable. De plus, la lecture se fait sans contact, limitant le nombre de facteurs susceptibles de la fausser (notamment de possibles résidus résultant d’un précédent passage).
Enfin, la biométrie s’est développée en matière de reconnaissance faciale ou de lecture du contour de la main.

Parallèlement, les biométries comportementales se développent. Elles se focalisent entre autres sur la dynamique de la frappe sur le clavier, la reconnaissance vocale, ou la signature. Ainsi, des facteurs, telles la vitesse ou les accélérations, sont pris en compte pour identifier une personne. Mais leur fiabilité semble moins sûre que les biométries morphologiques. Elles sont donc moins utilisées par les entreprises.
Quant aux analyses biologiques, par leur coût, leur difficulté de mise en place, elles restent réservées aux sphères judiciaires et policières.
Toutes les méthodes biométriques empruntent le même fonctionnement, c'est-à-dire la lecture de caractéristiques propres à l’individu, les paramètres traités générant une signature unique, enregistrée dans un dépôt de données. L’ensemble du processus porte le nom d’ « enrôlement ». Lorsqu’une personne doit s’identifier, un terminal de lecture est utilisé : les caractéristiques saisies sont alors comparées aux signatures enregistrées dans le dépôt central des données.
Comme il l’a été énoncé ci-dessus, le système biométrique peut concerner un nombre conséquent de secteurs et de types d’entreprises. Il est donc nécessaire d’adapter le système aux besoins de l’entreprise, mais aussi tenir compte de l’environnement de travail (température, humidité, présence de poussière…). De plus, toute mise en place d’un système biométrique doit être conforme à certaines dispositions législatives.

Le cadre législatif de l’usage des systèmes biométriques

En France, l’encadrement des installations de systèmes biométriques revient à la CNIL (Commission nationale de l’informatique et des libertés), tandis qu’en Europe, il incombe au Contrôleur européen de la protection des données.
Ces dispositifs de reconnaissance ne peuvent être mis en œuvre sans autorisation préalable de la CNIL, quel que soit le procédé technique retenu. Chaque entreprise doit donc préalablement lui adresser une demande. Sauf dans trois situations, précisées ci-après, chaque application doit faire l’objet d’un examen au cas par cas, en fonction notamment de la caractéristique biométrique utilisée.
Afin d’alléger les démarches, la CNIL a mis en place un système d’« autorisations uniques », applicables à certains dispositifs, réduisant les formalités de l’employeur à une simple déclaration de conformité. Cette procédure d’autorisation unique s’applique à trois types de démarches reposant sur la reconnaissance :

- du contour de la main pour assurer le contrôle d’accès au restaurant scolaire (autorisation n°AU-009),
- du contour de la main pour assurer le contrôle d’accès et la gestion des horaires et de la restauration sur les lieux de travail (autorisation n°AU-007 ),
- de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée pour contrôler l’accès aux locaux professionnels (autorisation n°AU-008).

Par ailleurs, la CNIL déclare que les personnes concernées par le système de reconnaissance biométrique doivent être clairement informées de ses conditions d’utilisation, de son caractère obligatoire ou facultatif, des destinataires des informations et des modalités d’exercice de leurs droits d’opposition, d’accès et de rectification.
En outre, et conformément au Code du travail et à la législation applicable à la Fonction publique territoriale, les instances représentatives du personnel doivent, le cas échéant, être consultées et informées avant la mise en œuvre des dispositifs.
La CNIL souligne le fait que l’empreinte digitale est une biométrie à « trace », que ces traces peuvent être capturées à l’insu des individus et utilisées notamment pour usurper leur identité. D’où, ce type de contrôle d’accès n’est justifié que s’il est fondé sur un fort impératif de sécurité satisfaisant aux quatre exigences suivantes :

- La finalité du dispositif doit être limitée au contrôle de l’accès d’un nombre limité de personnes à une zone bien déterminée représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme.
- La proportionnalité : le système proposé est-il bien adapté à la finalité préalablement définie eu égard aux risques qu’il comporte en matière de protection des données à caractère personnel ?
- La sécurité : le dispositif doit permettre à la fois une authentification et/ ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données.
- L’information des salariés concernées doit être réalisée dans le respect de la loi « informatique et libertés » et, le cas échéant, du Code du travail.

Si les conditions évoquées ci-dessus ne sont pas respectées, la CNIL peut intervenir et suspendre le dispositif en place. Ainsi, le 18 mars 2010, elle a pour la première fois ordonné l’interruption d’un système biométrique de reconnaissance d’empreintes digitales installé dans une entreprise spécialisée dans le commerce et le gros militaire. Ce dispositif avait été refusé par la CNIL en 2007, mais un contrôle de l’entreprise a montré que celui-ci avait été mis en place illicitement. Les contrôles sur place ont également constaté que les salariés concernés n'étaient informés ni des caractéristiques du traitement, ni de leur droit d'accès et que la société conservait les données de passage de ses salariés sans limitation de durée.
La biométrie n’est donc pas un outil anodin. Il doit être conforme aux dispositions européennes et françaises, appliquées par la CNIL. Mais d’autres éléments concourent à la limitation du procédé dans les entreprises françaises.


Quelles limites à là mise en place des systèmes biométriques

Questions éthiques de la biométrie dans un pays de tradition de défense des libertés

Environ cent-vingt pays sont aujourd’hui équipés de dispositifs de reconnaissance biométrique. La France est un pays bien représenté cette économie par des constructeurs, dont certains comptent parmi les leaders du secteur. Mais ces derniers déplorent le retard de l’Europe et de la France dans le domaine.
Il faut dire que l’Hexagone, dans une tradition ancienne de préservation et de défense des libertés, compte un grand nombre de réfractaires à l’informatisation du corps. Le corps virtuel est en quelque sorte « démembré » et répertorié dans de multiples banques de données.
Le contrôle des personnes par des technologies, comme la biométrie, mises au service de sociétés privées ou publiques, pose des questions éthiques. La CNIL et les citoyens disposent de peu de moyens pour en contrôler l’utilisation et éviter les éventuels abus.
Certains scientifiques pointent du doigt l’ouverture de bases de données à un public toujours plus large dans un contexte d’« insécurité juridique ». La Commission européenne n’ayant pas arrêté de politique officielle en matière de biométrie. L’inquiétude repose ainsi sur la protection de la vie privée.

Un débat est aussi lancé sur les dispositifs biométriques d’identification et d’authentification :

- L’identification est une procédure qui permet de connaître l’identité de l’individu. À partir d’un échantillon biométrique fourni, on répond à la question « Qui est cette personne ? »
- L’authentification est une procédure qui consiste à vérifier, valider l’identité : le dispositif vérifie que l’échantillon biométrique fourni correspond bien à celui désigné par l’identifiant. On pose la question « Cette personne est-elle bien M.X. ? ». Elle permet donc de valider son authenticité.

L'identification permet donc de connaître l'identité d'une entité alors que l'authentification permet de vérifier cette identité.

Saadi Lahlou (EHESS/CNRS), lors du colloque organisé en janvier 2008 par le GEEST, a insisté sur la nécessité de privilégier, autant que possible, la biométrie en authentification plutôt qu’en identification, la première étant bien sûr moins intrusive que la seconde.
Devant cette méfiance des employés vis-à-vis de la biométrie, le GIXEL (groupement des industries de l’interconnexion des composants et des sous-ensembles électroniques) a rédigé un Livre Bleu à l’intention du gouvernement. Il vise à encourager le développement et la démocratisation du recours aux nouvelles technologies, parmi lesquelles la biométrie.
Mais au-delà des problèmes d’acceptation de cette technologie high-tech par les employés, n’y a-t-il pas d’autres freins ?

Un système coûteux pour une sécurité absolue ?

L’un des freins au développement de la généralisation de la biométrie dans les entreprises n’est autre que son coût. Comme toutes les technologies de pointe, ces systèmes représentent un investissement conséquent pour les entreprises. Investissement qu’elles ne sont pas toutes prêtes à faire comme l’a montré le rapport de la CDSE. De plus, aucun label CNIL n’a été développé autour des matériels biométriques.
Certains problèmes viennent du fait :

- que les données biométriques ne sont pas par nature confidentielles,
- qu’il est impossible de les changer si elles sont divulguées : on ne peut pas modifier son iris ou la forme de son visage,
- qu’il est difficile de réserver l’usage d’une donnée biométrique à un système informatique donné.

De plus, il s’avère que le corps subit, comme tout organisme vivant, de légères modifications : on vieillit, on subit des traumatismes. Dans ce cas, les mesures changent.
Les fabricants cherchent ainsi à diminuer le taux de faux rejets ou FRR (False Rejection Rate) tout en maintenant au plus bas les taux de fausses acceptations ou FAR (False Acceptation Rate). Les FAR consistent à reconnaître une personne qui n’aurait pas dû être acceptée. À l’inverse, les FFR rejettent une personne qui aurait dû être acceptée. Généralement, les erreurs relèvent de la façon dont le système mesure la particularité physique et la marge d’erreur autorisée.

Vers une biométrie de plus en plus performante

La biométrie est un système de sûreté en évolution, en constant perfectionnement. Les recherches permettent d’en faire un outil de plus en plus discret et de plus en plus fiable. La miniaturisation conduit les fabricants à proposer des systèmes mieux acceptés par les employés, car moins impressionnants.
Un autre axe de recherche concerne la rapidité de capture des données.
Mais surtout, les scientifiques et industriels axent le développement de la biométrie autour de la multimodalité ou « multibiométrie », qui consiste à combiner des reconnaisseurs (voix et visage par exemple) pour améliorer la fiabilité du système global. L’usage de deux modalités permet aussi de réduire les taux d’impossibilité d’acquisition. Un tel procédé permet de rendre plus difficile la falsification. Mais il pose quelques problèmes. Dans une mise en œuvre à grande échelle, il est plus coûteux puisqu’il faut plusieurs capteurs.
Par ailleurs, on observe un fort développement de la biométrie 3D : elle progresse et vient compléter et/ou remplacer la biométrie 2D.
Concernant la problématique de l’évolution du corps, des expérimentations se penchent pour tenter de créer des logiciels capables de tenir compte des modifications que subit le corps humain au cours des années sans avoir à effectuer de nouvelles mesures.

Selon le professeur Emmanuel Alain Cabanis (Président de la Société de Biométrie Humaine) la reconnaissance génétique est amenée, à terme, à devenir la forme idéale de biométrie puisque l’ADN constitue le véritable identifiant d’une personne. Mais L’ADN, en tant que modalité de ce système de reconnaissance, doit encore beaucoup progresser en matière d’automatisation pour obtenir un résultat rapide.


SOURCES :

- Articles CNIL, « la biométrie sur les lieux de travail » et « La CNIL ordonne l'interruption d'un dispositif biométrique illégal » :
http://www.cnil.fr/es/en-savoir-plus/fiches-pratiques/fiche/...
http://www.cnil.fr/dossiers/identite-numerique/actualites/...

- « Compte rendu de l'audition publique du 4 mai 2006 sur la Biométrie » de l’Office parlementaire d’évaluation des choix scientifiques et technologiques:
http://www.assemblee-nationale.fr/12/pdf/rap-off/i3302.pdf

- Article « Sécurité du poste de travail, La biométrie" du Secrétariat général de la Défense nationale
http://www.securite-informatique.gouv.fr/autoformations/...

- Article du compte rendu du colloque « La biométrie, Champs et enjeux », GEEST - Groupe d’Etudes et d’Expertise « Sécurité et Technologies »
http://geest.msh-paris.fr/spip.php?rubrique28

- Article « Les enjeux des directeurs de sécurité en 2010 », rapport de la CDSE
https://www.cdse.fr/IMG/pdf/Les_Enjeux_des_Directeurs_Securite_en_2010.pdf

- Article introduction à la biométrie, Biométrie-Online.net
http://www.biometrie-online.net/introduction-a-la-biometrie.php


Document mis en ligne en mars 2011

LES CONGRÈS/SALONS LE MAGAZINE
Préventica Strasbourg Rétrospective


Qui sommes-nous ? | contact | recommander ce site | ajouter ce site à mes favoris | engagement eco-citoyen
Copyright © 2000 Communica - Tous droits réservés | Site déclaré a la CNIL sous le N° 882590