Passées À venir

Règles d'utilisation de la biométrie à disposition des particuliers

Des entreprises aux banques, en passant par nos smartphones, l’usage de la reconnaissance biométrique se popularise. Comment protéger ces données personnelles sensibles ?
Sommaire

De plus en plus de lieux ou de technologies utilisent la reconnaissance biométrique pour autoriser l’accès de leurs utilisateurs. Avec la mise en place du RGPD (règlement général de protections des données) dans l’UE le 25 mai 2018, la question de la collecte et de la sécurisation de ces données personnelles se posent également.

Règles d’utilisation de la biométrie à disposition des particuliers


La reconnaissance biométrique est désormais largement utilisée

Il peut s’agir de smartphones qui reconnaissent les empreintes digitales ou le visage de leur propriétaire, de restreindre l’accès d’un lieu en plaçant à l’entrée un dispositif qui identifie les personnes grâce à leurs iris ou au réseau veineux de leur main.... Aujourd’hui, tout cela n’est plus de l’ordre de la science-fiction et rentre rapidement dans le quotidien de chacun.

Le problème de ces données biométriques, c’est qu’elles ne sont pas échangeables si elles sont compromises.

Si quelqu’un se sert de votre mot de passe pour accéder à votre ordinateur personnel, vous pouvez le changer. Lorsqu’il s’agit de votre empreinte vocale ou de celles de vos doigts, des traits de votre visage, ou des composantes uniques de votre iris, ces données sont permanentes et irremplaçables, et leur détournement ou utilisation à mauvais escient peut avoir des conséquences graves. Leur stockage et leur utilisation sont donc particulièrement sensibles.

La CNIL (Commission nationale de l’informatique et des libertés) établit des règles

Afin de pallier à ce risque, la CNIL incite les professionnels à respecter certaines règles qui respectent les droits et les libertés des personnes et garantissent l’usage sécurisé de leurs données biométriques.

Justifier d’un besoin spécifique : la reconnaissance biométrique ne doit pas être considérée « comme un gadget » et doit concerner l’identification renforcée pour accéder à un lieu, un service ou une application.

Les personnes concernées devront toujours recevoir une information précise sur la reconnaissance biométrique et avoir la possibilité d’utiliser, si elles le préfèrent, un moyen d’identification alternatif (badge, carte, code, mot de passe...)

La donnée biométrique doit être placée sous le contrôle exclusif de leurs propriétaires, en remettant par exemple le gabarit biométrique, c’est-à-dire « l’échantillon de départ » à la personne sous la forme d’un badge ou de permettre le stockage de cet échantillon sur son téléphone. L’autre solution est de stocker le gabarit dans une base de données, mais de façon codée ou chiffrée pour le rendre inutilisable seul.

Le maintien de la donnée biométrique sous le contrôle exclusif de la personne est prévu pour être en conformité avec le RGPD, qui oblige à choisir par défaut et dès leur conception des systèmes garantissant une protection élevée de ces données.

Il y aura des évolutions et des dérogations

Ces règles constituent une tentative d’encadrer certaines avancées technologiques et de palier aux problèmes que cela peut poser. Vu la rapidité à laquelle celles-ci évoluent, les règles doivent également s’adapter et essayer d’être en adéquation avec la nécessité de protéger la vie privée des citoyens.

Des dérogations pourront être accordées pour l’utilisation des systèmes de reconnaissance biométriques si les raisons en sont jugées valables. En entreprise, c’est le responsable de traitement, dans le cadre d’une étude d’impact sur la vie privée, et avec la preuve du déploiement de garanties suffisantes pour protéger les utilisateurs de l’identification biométrique qui pourra en faire la demande.