Reconnaissance du réseau veineux, une biométrie allégée
Publié le | L'Usine Nouvelle n° 3184
La Cnil a assoupli les formalités pour la mise en oeuvre de dispositifs sécuritaires biométriques, telle la reconnaissance du réseau veineux.
Vidéosurveillance, géolocalisation et biométrie font désormais partie de la panoplie sécuritaire des espaces privés ou publics. Aujourd'hui, l'accès à une salle d'examen ou à un bloc opératoire peut ainsi être soumis à l'obligation de scanner le réseau veineux palmaire du candidat ou du personnel médical (délib. 2009-360 du 18/6/09 et 2009-174 du 26/3/09). En application de la loi Informatique et libertés (6/1/78, modifiée en 2004), les dispositifs de reconnaissance biométrique sont, pour la plupart, soumis à une autorisation préalable de la Cnil. Or, cette dernière vient d'alléger les formalités d'autorisation pour la mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main, privilégiant ainsi les dispositifs d'identification sans contact (délib. 2009-316 du 7/5/09 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail). Encore faut-il que cette technique ne soit affectée qu'au contrôle de l'accès des locaux sur le lieu de travail. La société, qui souhaite s'équiper d'un tel dispositif dans le respect des dispositions de la décision unique n° AU-019, doit adresser à la Cnil un engagement de conformité.
- Distinguer les autorisations délivrées par la Cnil selon qu'il s'agisse d'un dispositif à empreinte digitale ou d'une identification effectuée par le réseau veineux.
La mise en œuvre
- Adresser à la Cnil un engagement de conformité.
Parmi les données biométriques utilisées aujourd'hui, la Cnil considère l'empreinte digitale comme une donnée à risque dont la diffusion, non maîtrisée ou accidentelle, peut avoir des conséquences irrémédiables pour les personnes. Contrairement à tout autre identifiant (code, mot de passe), l'empreinte digitale ne peut être modifiée une fois collectée, ce qui impose d'en limiter l'usage pour éviter une usurpation d'identité presque « parfaite ». Cette « biométrie à trace » est donc particulièrement encadrée par la Cnil qui, l'an dernier, a refusé d'autoriser plusieurs dispositifs ne pouvant justifier d'un fort impératif de sécurité. Pour la Cnil, confier ses données biométriques à un tiers doit répondre à une nécessité a priori exceptionnelle et être entourée de garanties sérieuses.
Cette technologie doit tout d'abord présenter certaines caractéristiques techniques (chiffrage de l'enregistrement du gabarit veineux ou possibilité d'associer d'autres données d'identification - nom, prénom, photographie - au gabarit du réseau veineux du doigt). La Cnil précise que le gabarit veineux doit être enregistré dans la mémoire du lecteur biométrique ou sur un support individuel sécurisé. La durée de conservation des données doit être fixée (de trois mois à cinq ans selon les cas). Le responsable du traitement doit également prendre « toutes les précautions utiles pour préserver la sécurité et la confidentialité des données traitées, et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance » (Art. 34 loi du 6/1/78 modifiée). Enfin, l'information des employés et des instances représentatives du personnel doit être effectuée avant la mise en oeuvre effective du dispositif biométrique, au risque d'une peine pouvant atteindre 300 000 euros d'amende et cinq ans de prison.
Emmanuel Walle, avocat, Alain Bensoussan-Avocats
www.alain-bensoussan.com
dans la même rubrique
27/05/2012 Un mastère à l’international nuclear academy27/05/2012 Le papetier qui veut protéger les forêts
27/05/2012 Production
