L'introduction d'un système d'authentification biométrique

Personne ne peut introduire sans condition un système biométrique. Il faut, en effet, tenir compte de diverses règles complexes.

Nécessité du traitement

Tout d'abord, il faut que la finalité poursuivie par le responsable du traitement requière effectivement que des données personnelles soient traitées. A priori, par exemple, pas besoin pour un boulanger d'authentifier ses clients, et donc a fortiori, pas besoin de recueillir leurs données biométriques.

Le responsable doit ensuite prendre le temps de définir et de justifier les raisons qui l'amènent à adopter la biométrie comme moyen d'authentification en prenant en compte l’intérêt à long terme des personnes concernées. Pourquoi n'utilise-t-il par exemple pas un système non-biométrique (comme la comparaison visuelle de la personne qui se présente avec la photo se trouvant sur son badge) ? Ce raisonnement doit être porté à la connaissance des personnes concernées.

Proportionnalité du traitement

Le système biométrique doit, au point de vue technique et organisationnel, répondre à certains critères qui garantissent sa proportionnalité :

  • la technique biométrique choisie doit se baser sur des caractéristiques physiques qui ne laissent pas de trace. Le recours à l'empreinte digitale, qu'un être humain laisse quotidiennement tout autour de lui, est donc à proscrire. Il convient plutôt de se tourner vers des technologies utilisant des caractéristiques biométriques qui ne laissent pas de traces, telles que le réseau veineux du doigt ou de la main, le contour de la main, l'iris, etc. ;
  • les données biométriques de référence doivent être stockées sur un support amovible (comme une carte à puce) ou dans le capteur biométrique (l'appareil avec lequel on s'authentifie, par exemple à l'entrée du bâtiment), pour autant que ce dernier ne soit accessible de localement, sans possibilité de connexion avec d'autres systèmes informatiques ;
  • seuls les "gabarits" des données biométriques peuvent être enregistrés. Ce ne sont donc pas les images brutes des caractéristiques physiques contrôlées qui sont stockées, mais bien des chiffres déduits de ces images brutes ;
  • la technologie biométrique choisie doit nécessiter une participation consciente de la personne concernée lors de l'authentification. La reconnaissance faciale à distance, la collecte d'empreintes digitales ou l'enregistrement de la voix, susceptibles de se produire à l'insu de la personne concernée, présentent certains risques à cet égard ;
  • le système doit présenter un niveau de sécurité suffisamment élevé.

Les règles dont il faut tenir compte sont donc multiples et complexes. Comment éviter concrètement les écueils décrits ci-dessus ? La solution la plus sûre consiste à utiliser un système par lequel le gabarit de la forme de la main est stocké sur une carte à puce qui reste toujours en possession de chaque personne concernée. Celle-ci, pour s'authentifier, devra présenter sa carte au lecteur biométrique et confirmer son identité en posant sa main sur le capteur biométrique.

Exceptionnellement, le responsable pourra recourir à des données biométriques qui laissent des traces, telles que les empreintes digitales, mais il devra dans ce cas réaliser au préalable une analyse circonstanciée visant à vérifier si le même résultat ne pourrait être obtenu avec un système non biométrique, et donc moins intrusif pour la vie privée. L'Autorité sera éventuellement amenée à demander au responsable les termes de cette analyse, par exemple en cas de plainte.

Le responsable devra encore faire l'exercice de définir les catégories de lieux qui nécessitent un contrôle biométrique, et ne soumettre à la collecte de données biométriques que les personnes susceptibles de pénétrer dans ce lieu. Notons à ce sujet que pour limiter l’accès à un lieu à certain groupe d’individus, il n’est pas forcément toujours nécessaire de traiter des données personnelles directement identifiantes (tel que le nom) des individus disposant du droit d'accès. Ainsi tant qu’une personne est titulaire du droit d’entrer et que la biométrie permet de le vérifier, il n’est pas nécessaire de lier l’information biométrique à des données additionnelles identifiantes.