Biométrie à disposition de particuliers : quels sont les principes à respecter ?
La CNIL précise sa doctrine pour mieux encadrer les systèmes d’authentification biométrique utilisés par des particuliers dans leur vie quotidienne et inciter les professionnels à veiller à ce que les technologies utilisées garantissent la protection des données personnelles.
Compte tenu de l’essor du recours à la biométrie dans les services du quotidien fournis aux usagers et consommateurs (utilisation de la reconnaissance faciale pour le déverrouillage d’ordiphones ou la récupération de photographies, celle de l’empreinte digitale pour permettre l’accès à un équipement sportif par exemple), la CNIL précise les orientations de sa doctrine en la matière.
L’objectif est de limiter les risques liés aux traitements biométriques tout en garantissant aux personnes les utilisant la maitrise de leurs données personnelles. Ces lignes intègrent les principes de protection des données dès la conception et par défaut (« privacy by design » et « privacy by default ») qui entrent en application le 25 mai 2018 avec le règlement général sur la protection des données (RGPD).
Des données sensibles
La biométrie regroupe l’ensemble des techniques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (empreintes digitales, réseaux veineux de la paume de la main, reconnaissance vocale, de visage, de l’iris, analyse comportementale telle que la dynamique de frappe au clavier, etc.). Ces caractéristiques ont la particularité d'être uniques et, pour la plupart, permanentes. Elles sont en effet produites par le corps lui-même et le caractérisent de façon définitive. Elles peuvent être utilisées pour suivre et identifier un individu, même à son insu. Contrairement à un mot de passe, ces données peuvent ne pas être communiquées consciemment et ne peuvent pas être modifiées, y compris en cas de compromission.
Le caractère sensible de ces données est consacré par le RGPD qui entre en application le 25 mai 2018. Les données biométriques figurent désormais parmi les données sensibles, comme les données de santé ou celles relatives à l’orientation sexuelle.
La sensibilité de ces traitements de données conjuguée au perfectionnement et à la démocratisation des capteurs permettant de collecter les images du visage, de la voix, du réseau veineux, etc. impliquent que soient respectés des principes pour limiter les risques pour la protection des données.
La biométrie à destination du grand public, quelles sont les règles ?
-
Justifier d’un besoin spécifique
Du fait des risques que son usage représente, la biométrie ne peut pas être mise à la disposition de clients ou usagers comme un simple gadget. Le recours à un dispositif biométrique doit avant tout répondre à un vrai besoin, par exemple l’authentification pour permettre l’accès à un lieu, une application ou un service.
Ce besoin devra être démontré par écrit dans l’étude d’impact sur la vie privée que la CNIL recommande d’effectuer avant la mise en œuvre d’un traitement de données biométriques.
-
Laisser la personne libre d’y recourir ou de choisir un dispositif alternatif
L’utilisateur doit pouvoir librement choisir d’utiliser le dispositif biométrique ou non. Pour que son consentement soit valable, il doit être « libre, spécifique et éclairé ». Cela implique que :
- l’utilisateur ait reçu une information individuelle renforcée sur le dispositif biométrique et son alternative [consentement « éclairé»] ;
- l’utilisateur puisse choisir d’utiliser un autre mode d’authentification (simple badge ou mot de passe), sans contrainte additionnelle, ni incitation ou contrepartie particulière (aucun tarif préférentiel ne peut être alloué aux usagers ayant accepté d’utiliser le dispositif biométrique) [consentement « libre »] ;
- son accord porte spécifiquement sur l’authentification biométrique. Cet accord ne doit pas être dilué dans une acceptation générale des conditions d’utilisation du service [consentement « spécifique »].
La trace du consentement de l’utilisateur doit être conservée. Il est recommandé de le recueillir par écrit, éventuellement sous la forme d’une case à cocher.
-
Maintenir les données biométriques sous le contrôle exclusif de la personne concernée
Les dispositifs proposés au grand public (dans le cadre d’une relation client ou usager) peuvent concerner une population importante et soulever des risques plus difficiles à anticiper. Placer la donnée biométrique sous le contrôle exclusif des intéressés permet, mécaniquement, de réduire ces risques de mauvais usage, compromission ou détournement des données biométriques.
En pratique,
- Soit le gabarit biométrique est enregistré sur un support individuel remis à la personne (tel qu’un badge) ou conservé en sa possession (sur son appareil mobile),
- Soit le gabarit biométrique est stocké en base de données sous une forme le rendant inutilisable sans intervention de la personne concernée, qui dispose d’un élément ou secret permettant de déchiffrer son gabarit.
De telles solutions permettent de limiter la constitution de bases de données, sous le contrôle d’organisations publiques ou privés, centralisant un nombre important de gabarits biométriques.
En effet, la compromission d’une base de données biométriques pourrait engendrer des risques pour tous les gabarits qui y sont stockés, alors que la compromission d’un support individuel n’impactera que les données de son détenteur.
En outre, le détenteur d’un support individuel est certain que son gabarit biométrique ne sera utilisé que s’il le décide, à la suite d’une action de sa part (en présentant le support ou en communicant le secret permettant de l’utiliser).
Ce principe de maintien de la donnée sous le contrôle exclusif de la personne concernée répond aux orientations du RGPD, qui impose d’opter pour des systèmes garantissant par défaut et dès leur conception une protection des données optimale.
Des exceptions limitées et motivées
Ces principes constituent un standard auquel des dérogations peuvent être envisagées. Celles-ci doivent néanmoins être expliquées et valablement justifiées par le responsable de traitement, dans le cadre d’une étude d’impact sur la vie privée notamment, au regard d’éléments de contexte et de garanties déployées pour protéger la vie privée des personnes concernées par le traitement biométrique.