Le cadre législatif de l’usage des systèmes biométriques
, tandis qu’en Europe, il incombe au Contrôleur europ&)
En France, l’encadrement des installations de systèmes biométriques revient à la CNIL (Commission nationale de l’informatique et des libertés), tandis qu’en Europe, il incombe au Contrôleur européen de la protection des données.
Les démarches d’autorisation
Ces dispositifs de reconnaissance ne peuvent être mis en œuvre sans autorisation préalable de la CNIL, quel que soit le procédé technique retenu. Chaque entreprise doit donc préalablement lui adresser une demande. Sauf dans trois situations, précisées ci-après, chaque application doit faire l’objet d’un examen au cas par cas, en fonction notamment de la caractéristique biométrique utilisée.
Afin d’alléger les démarches, la CNIL a mis en place un système d’« autorisations uniques », applicables à certains dispositifs, réduisant les formalités de l’employeur à une simple déclaration de conformité. Cette procédure d’autorisation unique s’applique à trois types de démarches reposant sur la reconnaissance :
- du contour de la main pour assurer le contrôle d’accès au restaurant scolaire (autorisation n°AU-009),
- du contour de la main pour assurer le contrôle d’accès et la gestion des horaires et de la restauration sur les lieux de travail (autorisation n°AU-007),
- de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée pour contrôler l’accès aux locaux professionnels (autorisation n°AU-008).
L’information des usagers
Par ailleurs, la CNIL déclare que les personnes concernées par le système de reconnaissance biométrique doivent être clairement informées de ses conditions d’utilisation, de son caractère obligatoire ou facultatif, des destinataires des informations et des modalités d’exercice de leurs droits d’opposition, d’accès et de rectification. En outre, et conformément au Code du travail et à la législation applicable à la Fonction publique territoriale, les instances représentatives du personnel doivent, le cas échéant, être consultées et informées avant la mise en œuvre des dispositifs.
Les conditions d’utilisation
La CNIL souligne le fait que l’empreinte digitale est une biométrie à « trace », que ces traces peuvent être capturées à l’insu des individus et utilisées notamment pour usurper leur identité. D’où, ce type de contrôle d’accès n’est justifié que s’il est fondé sur un fort impératif de sécurité satisfaisant aux quatre exigences suivantes :
- La finalité du dispositif doit être limitée au contrôle de l’accès d’un nombre limité de personnes à une zone bien déterminée représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme.
- La proportionnalité : le système proposé est-il bien adapté à la finalité préalablement définie eu égard aux risques qu’il comporte en matière de protection des données à caractère personnel ?
- La sécurité : le dispositif doit permettre à la fois une authentification et/ ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données.
- L’information des salariés concernées doit être réalisée dans le respect de la loi « informatique et libertés » et, le cas échéant, du Code du travail.
Si les conditions évoquées ci-dessus ne sont pas respectées, la CNIL peut intervenir et suspendre le dispositif en place. Ainsi, le 18 mars 2010, elle a pour la première fois ordonné l’interruption d’un système biométrique de reconnaissance d’empreintes digitales installé dans une entreprise spécialisée dans le commerce et le gros militaire. Ce dispositif avait été refusé par la CNIL en 2007, mais un contrôle de l’entreprise a montré que celui-ci avait été mis en place illicitement. Les contrôles sur place ont également constaté que les salariés concernés n'étaient informés ni des caractéristiques du traitement, ni de leur droit d'accès et que la société conservait les données de passage de ses salariés sans limitation de durée.
La biométrie n’est donc pas un outil anodin. Il doit être conforme aux dispositions européennes et françaises, appliquées par la CNIL. Mais d’autres éléments concourent à la limitation du procédé dans les entreprises françaises.
