Vous êtes ici : Accueil > En pratique > Biométrie

Pour en savoir plus

avis 17/2008 d’initiative relatif aux traitements de données biométriques dans le cadre de l'authentification de personnes >

Biométrie

Ce qui relevait hier encore de la science-fiction a fait irruption dans notre quotidien depuis quelques années. Un ordinateur est désormais capable d'identifier une personne par ses caractéristiques corporelles : sillons de la peau, contour de la main, voix, forme de l'œil,... Désormais, plus besoin de taper son mot de passe pour ouvrir une session sur son PC ; présenter l'empreinte digitale de son index suffit. Cette utilisation de caractéristiques corporelles dans le but de déterminer ou de vérifier l'identité d'un individu est communément appelée "biométrie"

Si le recours à des systèmes biométriques dans le but de sécuriser l'accès à certains lieux particulièrement sensibles, tels que des centrales nucléaires ou encore des installations militaires peut aisément se concevoir, que penser de l’usage de la biométrie dans notre vie de tous les jours, dans l’offre quotidienne de services de consommation ? On pense ici aux vidéo-clubs ou encore aux salles de sport. Toutes ces applications peuvent-elles être mises sur le même plan ?

Par le biais d'un avis rendu en 2008, la Commission de la protection de la vie privée propose un cadre au recours à la biométrie et énumère un certain nombre de garde-fous. Ce sont ces règles que nous nous proposons de vous exposer brièvement ci-dessous.

Un choix de société

Rappelons d'abord ce qui peut sembler évident : l'utilisation automatisée ou informatisée de la biométrie afin d'identifier ou d'authentifier une personne constitue un traitement de données à caractère personnel et est donc soumise à la Loi vie privée.

De manière générale, il convient d'être conscient du choix de société que constitue une généralisation du recours à la biométrie, et des risques de désensibilisation du public que cela comporte. La biométrie, moyen d'authentification fort, ne devrait être utilisée que parce qu'elle constitue le seul moyen pour réaliser le but recherché, et pas seulement parce qu'elle est pratique, ou parce qu'elle "fait moderne".

En cette matière se pose souvent la question de l'éventuelle nécessité pour les personnes concernées de consentir au traitement de leurs données biométriques.

On peut évidemment admettre que le consentement soit une base. Mais il n'est pas requis dans tous les cas. Par exemple, il arrive que la loi impose le traitement des données biométriques.

Dans d'autres cas, le consentement peut même s'avérer difficilement praticable. Citons l'exemple d'un lieu de travail : il est difficile de garantir que l'employé ne se sente pas dans une certaine mesure obligé de donner son accord à son employeur.

C'est notamment pour rééquilibrer des situations de ce type qu'il est primordial que l'utilisation d'un système biométrique soit strictement encadrée.

Quand peut-on mettre en place un système d'authentification biométrique ?

Tout d'abord, il faut que la finalité poursuivie par le responsable du traitement requière effectivement que des données personnelles soient traitées. A priori, par exemple, pas besoin pour un boulanger d'authentifier ses clients, et donc a fortiori, pas besoin de recueillir leurs données biométriques.

Le responsable doit ensuite prendre le temps de définir et de justifier les raisons qui l'amènent à adopter la biométrie comme moyen d'authentification en prenant en compte l’intérêt à long terme des personnes concernées. Pourquoi n'utilise-t-il par exemple pas un système non-biométrique (comme la comparaison visuelle de la personne qui se présente avec la photo se trouvant sur son badge) ? Ce raisonnement doit être porté à la connaissance des personnes concernées.

Le système biométrique doit, au point de vue technique et organisationnel, répondre à certains critères qui garantissent sa proportionnalité :

la technique biométrique choisie doit se baser sur des caractéristiques physiques qui ne laissent pas de trace. Le recours à l'empreinte digitale, qu'un être humain laisse quotidiennement tout autour de lui, est donc à proscrire. Il convient plutôt de se tourner vers des technologies utilisant des caractéristiques biométriques qui ne laissent pas de traces, telles que le réseau veineux du doigt ou de la main, le contour de la main, l'iris, etc. ;
les données biométriques de référence doivent être stockées sur un support amovible (comme une carte à puce) ou dans le capteur biométrique (l'appareil avec lequel on s'authentifie, par exemple à l'entrée du bâtiment), pour autant que ce dernier ne soit accessible de localement, sans possibilité de connexion avec d'autres systèmes informatiques ;
seuls les "gabarits" des données biométriques peuvent être enregistrés. Ce ne sont donc pas les images brutes des caractéristiques physiques contrôlées qui sont stockées, mais bien des chiffres déduits de ces images brutes ;
la technologie biométrique choisie doit nécessiter une participation consciente de la personne concernée lors de l'authentification. La reconnaissance faciale à distance, la collecte d'empreintes digitales ou l'enregistrement de la voix, susceptibles de se produire à l'insu de la personne concernée, présentent certains risques à cet égard ;
le système doit présenter un niveau de sécurité suffisamment élevé.

Les règles dont il faut tenir compte sont donc multiples et complexes. Comment éviter concrètement les écueils décrits ci-dessus ? La solution la plus sûre consiste à utiliser un système par lequel le gabarit de la forme de la main est stocké sur une carte à puce qui reste toujours en possession de chaque personne concernée. Celle-ci, pour s'authentifier, devra présenter sa carte au lecteur biométrique et confirmer son identité en posant sa main sur le capteur biométrique.

Exceptionnellement, le responsable pourra recourir à des données biométriques qui laissent des traces, telles que les empreintes digitales, mais il devra dans ce cas réaliser au préalable une analyse circonstanciée visant à vérifier si le même résultat ne pourrait être obtenu avec un système non biométrique, et donc moins intrusif pour la vie privée. La Commission sera éventuellement amenée à demander au responsable les termes de cette analyse, par exemple en cas de plainte.

Le responsable devra encore faire l'exercice de définir les catégories de lieux qui nécessitent un contrôle biométrique, et ne soumettre à la collecte de données biométriques que les personnes susceptibles de pénétrer dans ce lieu. Notons à ce sujet que pour limiter l’accès à un lieu à certain groupe d’individus, il n’est pas forcément toujours nécessaire de traiter des données personnelles directement identifiantes (tel que le nom) des individus disposant du droit d'accès. Ainsi tant qu’une personne est titulaire du droit d’entrer et que la biométrie permet de le vérifier, il n’est pas nécessaire de lier l’information biométrique à des données additionnelles identifiantes.

Information des personnes concernées

Le responsable devra informer les personnes concernées de son identité, des finalités du traitement, des (catégories de) destinataires des données, de l’existence d'un droit d’accès et de rectification ainsi, pour garantir une transparence optimale du traitement de ces données, que du type de système biométrique utilisé (type de stockage notamment), de l’existence d’un taux d’erreur de reconnaissance inhérent à tout système biométrique et de la procédure à suivre par la personne concernée lors d’une prétendue non-reconnaissance par le système.

Conservation des données

Les données ne peuvent être conservées plus longtemps que nécessaire à la réalisation de la finalité poursuivie. Cette règle s'applique à tous les niveaux, par exemple aux données utilisées afin de gérer l’accès à un site professionnel (il convient de supprimer les données stockées sur le support amovible dès que l'utilisateur perd son droit d’accès à cet espace) ou à la comparaison de la donnée présentée par la personne concernée avec la donnée de référence (le capteur biométrique ne doit pas conserver de copie de la donnée biométrique au-delà de la durée nécessaire pour effectuer la comparaison).

Sécurité des données

Des données aussi sensibles que celles qui nous occupent doivent bénéficier de mesures de sécurité (techniques, juridiques, organisationnelles, ...) particulièrement élevées, et en phase avec l'état actuel de la technique.

Cette sécurité devra également se répercuter à tous les niveaux du traitement : étape de l'inscription (environnement sécurisé, détermination limitative des personnes habilitées à procéder à l'enregistrement, ...), support (par exemple, cartes protégées par chiffrement, hachage des gabarits, signature électronique, ...), capteur, ...

Déclaration du traitement

Le traitement automatisée ou semi-automatisée de données biométriques doit en principe faire l'objet d'une déclaration auprès de la Commission vie privée. Il existe néanmoins, dans l'arrêté royal d'exécution, une série d'exceptions à cette obligation, qui pourront éventuellement s'appliquer en fonction de l'usage concret qui est réservé aux données biométriques. Nous vous renvoyons à ce sujet à la page de ce site relative aux déclarations.