La Cour d’appel de Paris a rendu une décision le 23 février 2011, prononçant la résolution de contrats passés par une société pour la location et la maintenance d’un dispositif biométrique qui avait fait l’objet d’un refus d’autorisation par la Commission Nationale de l’Informatique et des Libertés.
Dans l’affaire qui nous retient, une société S. a fait appel à la société E. pour mettre en place un dispositif biométrique afin de contrôler l’accès de ses locaux. L’installation biométrique en cause, consistait en une reconnaissance des empreintes digitales des salariés aux fins d’identification.
La mise en œuvre de ce dispositif supposait au préalable de procéder aux formalités auprès de la Commission en vue d’obtenir l’autorisation.
La collecte et le traitement de données biométriques, telles que les empreintes digitales, sont soumises à l’autorisation de la CNIL en application de l’article 25 I-8° de la loi « Informatique et Libertés » du 6 janvier 1978. En effet les empreintes digitales comportent des risques en raison des traces possibles laissées par les personnes, qui pourraient être exploitées à d’autres fins. Il convient donc d’encadrer strictement la collecte et le traitement de celles-ci.
En l’espèce, dans sa notification de refus d’autorisation du 19 juin 2005, la CNIL a précisé, au vu des conditions d’utilisation du dispositif transmis par la société E., que : « les technologies de reconnaissance biométrique ne reposant pas sur le stockage des gabarits dans une base de données ne soulevaient pas de difficultés particulières dès lors que le gabarit était conservé sur soi (carte à puce) ou sur un appareil dont on avait l’usage exclusif (téléphone portable, ordinateur…) mais que, lorsqu’une base de données était constituée, le contrôle de finalité et de proportionnalité pouvait conduire à accepter la mise en œuvre de telles bases de données lorsqu’un impératif particulier de sécurité le justifiait et que, à défaut, le choix d’un élément biométrique ne laissant pas de trace devait être préféré. »
Dans sa délibération n°2006-004 du 12 janvier 2006 la Commission a ajouté concernant ce dispositif que : « l’objectif invoqué par la société S. de contrôler l’accès à ses locaux, s’il est légitime, n’est associé à aucune circonstance particulière justifiant la conservation dans une base de données des empreintes digitales des employés habilités à accéder aux locaux.
En conséquence, le traitement pris dans son ensemble n’apparaît ni adapté ni proportionné à l’objectif poursuivi.»
En conséquence, la société S a assigné la société E en nullité des contrats, dans la mesure où elle se trouvait dans l’incapacité d’utiliser le dispositif loué du fait de la décision de refus de la CNIL.
Pour sa défense, la société E. se fonde sur des délibérations rendues par la Commission relatives à des dispositifs de reconnaissance de contours de la main. Alors pourtant que ces derniers ne pouvaient être comparés à une reconnaissance d’empreintes digitales (ne comportant pas les mêmes risques).
La Cour d’appel a confirmé la décision de première instance
La Cour d’appel a confirmé la décision de première instance statuant sur la résolution des contrats de location et de maintenance conclus entre la société E et la société S, en raison de l’impossibilité pour la société S d’utiliser ce dispositif contraire à la législation en vigueur.
Il ressort de cette décision une obligation pour les concepteurs de tels systèmes, de conformer leurs technologies aux réglementations et d’éviter ainsi de placer leurs co-contractants en infraction. L’intégration des dispositions de la loi Informatique et Libertés doit alors être envisagée dès la conception du dispositif.
Source :
Cour d’appel de Paris, Pôle 5 chambre 10, 23 février 2011, n°07/21976.