01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Biométrie : la CNIL rappelle les principes !

biométrie

Dans un communiqué du 30 novembre 2011, la CNIL a rendu publique sa décision de refuser la mise en œuvre d’un système de reconnaissance biométrique basée sur le système veineux des doigts pour contrôler les accès à une cantine scolaire au sein d’un collège.

Les dispositifs de contrôle biométriques soumis à l’autorisation de la CNIL

A titre liminaire, ce communiqué est l’occasion de rappeler à tous que la mise en place d’un système de contrôle basé sur la biométrie nécessite d’obtenir au préalable l’autorisation de la CNIL :

  • autorisation prévue par l’article 25 de la Loi Informatique et Libertés du 6 janvier 1978

ou

  • autorisation par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés pour les traitements de données à caractère personnel mis en œuvre pour le compte de l’État

Une procédure de demande d’autorisation a cependant été mise en place pour les dispositifs reposant sur le stockage des empreintes digitales dans un support individuel mis en œuvre pour contrôler l’accès aux locaux par les employés. Il convient alors d’effectuer un engagement de conformité aux dispositions de l’autorisation unique AU-007 (disponible sur le site de la CNIL) et l’autorisation est délivrée automatiquement sous quelques jours.

Mettre en œuvre un traitement de données reposant sur un système de contrôle biométrique sans y avoir été autorisé au préalable par la CNIL est donc illicite et son responsable engage sa responsabilité pénale, encourant des peines pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende (1,5 millions s’il s’agit d’une personne morale).

Une autorisation soumise à conditions

C’est sans surprise que la CNIL a refusé d’autoriser le traitement de données soumis à son examen ; système reposant sur la reconnaissance du réseau veineux des doigts de la main dans une cantine scolaire.

En effet, sa décision est motivée sur les critères d’appréciation qui sont les siens pour autoriser ce type de traitement :

1° Si la CNIL a pu autoriser par le passé des dispositifs analogues pour contrôler les accès à des lieux sensibles (zone spécifique à l’intérieur d’une centrale nucléaire, sites classés SEVESO II, zones sensibles d’entreprises travaillant pour la sécurité nationale…), elle considère que le contrôle d’accès à une cantine scolaire n’impose pas ce type de contrôle qui s’avère être disproportionné au regard de la finalité poursuivie : permettre une meilleure gestion de la cantine.

Cette décision est conforme à celle qu’elle avait déjà rendue le 26 juin 2008 en refusant d’autoriser l’utilisation d’un dispositif reposant sur l’empreinte digitale pour contrôler l’accès à un établissement scolaire ainsi que la présence des élèves.

2° La CNIL refuse d’autoriser le dispositif envisagé en rappelant un autre grand principe en matière de protection des données à caractère personnel : celui de la proportionnalité des données collectées et du traitement de données à caractère personnel eu égard à la finalité du traitement (c’est l’article 6 3° de la Loi Informatique qui pose ce principe en énonçant : les données collectées « sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ».

En l’espèce, elle estime que l’établissement scolaire disposait d’autres moyens (notamment, la mise en place de badges nominatifs remis à chaque élève ou système de reconnaissance du contour de la main, déjà autorisé par le passé par la CNIL pour contrôler l’accès d’une cantine) beaucoup moins liberticides pour atteindre la finalité poursuivie.

3° La CNIL motive également sa décision par des inquiétudes légitimes quant à l’absence suffisante de sécurité du dispositif mis en place au regard de la sensibilité des données collectées (reconnaissance du réseau veineux) qui identifient une personne tout au long de sa vie.

En effet, il convient de rappeler ici que pèse sur chaque responsable de traitement de données à caractère personnel une obligation de sécurité des données (l’article 34 de la Loi Informatique et Libertés énonçant : « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Plus la donnée sera sensible, plus les mesures de protection mises en œuvre devront être fortes (sécurités physiques des locaux où sont stockées les données, chiffrement plus ou moins fort…).

Une demande d’autorisation à la CNIL ne s’improvise pas, mais se prépare et elle nécessite de faire appel à des spécialistes pour éviter que cette demande ne soit vouée à l’échec.

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com