En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour recueillir vos informations de connexion, collecter des statistiques en vue d'optimiser les fonctionnalités du site et adapter son contenu à vos centres d'intérêt.
En savoir plus et paramétrer les cookies Accepter
Comparateur de logiciels de gestion
Avec notre comparateur en ligne, trouvez en quelques clics la solution à votre besoin
agenda
Agenda
Solutions IT
  • 06/12/2017
    Paris Open Source Summit

    Paris Open Source Summit, premier événement européen libre et open source, est le fruit de…

    en détail En détail...
  • 23/01/2018
    FIC 2018

    Pour son 10ème anniversaire, le Forum International de la Cybersécurité (FIC) réunira l’ensemble des acteurs…

    en détail En détail...
Appels d'offres en cours
  • Formateur pour une enseigne spécialisée dans la quincaillerie
    A déterminer €
    > En savoir plus
  • Site internet de réservation dans le domaine du prêt-à-porter
    < 6 700 €
    > En savoir plus
  • Production de vidéos motion design
    < 5 000 €
    > En savoir plus
banniere_FIC2018_leaderboard

Biométrie, quelle sécurité juridique ?

BlueMind_Nouvelle version_pave

Vouée à renforcer la sécurité, qu’en est-il de la transparence et de la sécurité des traitements ? Les réponses d’Isabelle Renard, Avocat au barreau de Paris, Docteur ingénieur. www.irenard-avocat.com

Il faut tout d’abord rappeler qu’un traitement de données biométriques, c’est-à-dire de données liées aux caractéristiques physiques, biologiques, ou comportementales d’une personne, est un traitement de données personnelles soumis en tant que tel à la loi du 6 janvier 1978 dite « informatique et libertés ».

Selon cette loi (article 25), un traitement de données biométriques ne peut être mis en œuvre qu’après autorisation de la CNIL dès lors qu’il est utilisé pour contrôler l’identité des personnes.

A contrario, si le traitement n’est pas utilisé à cette fin : par exemple un enregistrement vocal pour confirmer l’accord d’une personne sur un contrat conclu en ligne ou par téléphone, il ne sera pas soumis à autorisation mais devra faire l’objet d’une déclaration.

La CNIL, considérant les dangers potentiels des applications biométriques pour la vie privée des personnes, a développé depuis plusieurs années un certain nombre de principes sur lesquels elle s’appuie pour autoriser, ou non, le traitement envisagé. Ces principes sont les suivants :

  • La finalité du traitement est-elle proportionnelle aux risques en matière de protection des données et de la vie privée ?
  • La sécurité des données est-elle correctement assurée ?
  • Les personnes concernées ont-elles été suffisamment informées de l’existence, de la finalité et des modalités du traitement ?

La transparence du traitement est un élément fondamental de la licéité de celui-ci aux yeux de la CNIL, qui exige que les personnes concernées soient informées du caractère facultatif ou obligatoire du traitement, des destinataires des données, et des façons dont elles peuvent accéder à leurs données ou en demander l’effacement. Les modalités de cette information varient selon le contexte. Elles sont relativement simples et classiques s’agissant de contrôles ou d’enregistrements biométriques dans un cadre professionnel, où les modalités d’information des salariées sont étroitement encadrées par le droit social. Elles sont plus illusoires s’agissant de contextes où les personnes concernées n’ont pas vraiment le choix, comme pour l’obtention d’un passeport ou l’accès à certains soins dans un hôpital.

La seconde exigence porte sur la sécurité des données, qui doit être particulièrement renforcée s’agissant de données biométriques dont le détournement peut porter un grave préjudice à l’individu puisque, contrairement à un mot de passe, il n’est pas possible à une personne de changer ses données biométriques (à part dans les films de science-fiction pour l’instant). Dès lors, la compromission d’un identifiant biométrique prive de facto la personne concernée de la possibilité de l’utiliser, ce qui peut avoir de graves conséquences. Ainsi, la CNIL exige que l’accès à ces données soit limité au strict nécessaire, dans le cadre d’une gestion rigoureuse de la traçabilité des accès et des habilitations.

Qu’en est-il de l’information sur les finalités de traitement sur les destinataires, le lieu et la durée de conservation des données ?

Le destinataire doit être informé de la finalité du traitement par tout moyen adapté au contexte, qui varie bien entendu selon l’application. On assiste par exemple à un fort déploiement des sites qui exploitent des données comportementales très privées (comme certains sites médicaux), qui sont des données biométriques associées à l’identité d’une personne. Or, certains sites, notamment d’origine non européenne, informent de façon tout à fait insuffisante les internautes de la finalité du traitement des données et du sort de celles-ci, qui sont souvent revendues de façon tout à fait illicites à d’autres entreprises qui les exploitent pour envoyer des publicités personnalisées extrêmement intrusives.

Le lieu de conservation de la donnée n’est pas un critère déterminant en tant que tel. Il est directement lié à sa sécurité, qui peut être prise en défaut aussi bien sur un serveur localisé en France si celui-ci est mal protégé que dans une infrastructure Cloud sans traçabilité des accès.

Quant à la durée de conservation de la donnée, la CNIL impose qu’elle soit la plus courte possible et que la donnée soit effacée du système dans un délai très court après sa durée de vie utile.

Quelles sont les voies de recours juridiques possibles ?

Si la société responsable du traitement est située en France, la voie de recours la plus simple consiste à écrire à la CNIL si la société concernée ne répond pas aux demandes et observations qui lui sont adressées.

Si la société est située en Europe, la situation est actuellement assez complexe car il peut y a voir plusieurs offices de protection des données impliqués, dont la coordination n’est pas nécessairement efficace. Ce point sera amélioré par le futur règlement européen de protection des données personnelles, qui prévoit la centralisation des traitements impliquant plusieurs pays européens sur un seul office.

Si le responsable du traitement n’est pas en Europe, les recours sont, clairement, extrêmement illusoires.

Qu’en est-il au niveau national et européen ?

Un règlement européen sur la protection des données personnelles qui remplacera l’actuelle loi Informatique et Libertés est attendu, dans un délai que l’on espère maintenant prochain.

Le sort des traitements biométriques fait encore l’objet de discussions au sein de la commission, de sorte que l’on ne peut pas avoir une vision claire de la façon dont le sujet sera abordé lorsque le règlement entrera en vigueur. On ne peut en tous cas pas exclure que, sous l’effet des risques sécuritaires et du lobby de certains fournisseurs qui introduisent de la biométrie dans leurs applications commerciales, le régime d’autorisation de ces traitements ne soit assoupli par rapport à la position actuelle de la CNIL sur le sujet, qui est très stricte.

Biométrie, quelle sécurité juridique ?
Notez cet article

Laisser un commentaire

Gestion des Identités et des Accès : conférence 7 décembre

Journée de conférence et d’échanges sur les nouvelles tendances IAM/IAG/DAG. Un florilège de sessions enrichissantes, animées par les plus grands experts Témoignage Client d’un très large déploiement IAM La Gestion des Identités et des Accès dans le Cloud etc - Hotel Peninsula, Paris.

Info et inscription

Sondage

Noël : quel cadeau High tech pour vous même ou vos proches? (3 choix possibles)

Voir les résultats

Loading ... Loading ...
Nos derniers dossiers
Témoignages
Juridique
  • Juridique - Données personnelles ou non : vers un marché numérique unique ?

      Le 13 septembre 2017, la Commission européenne a adopté la proposition de règlement fixant…

    > En savoir plus...
Paroles d'experts
Paroles
d'experts
  • Vidéo - Alain Bouillé, président du CESIN, n’imagine pas l’agilité sans tests continus

    Toute entreprise devra former sur le long terme ses développeurs et ses administrateurs, et surveiller…

    > En savoir plus...
Etudes/Enquêtes
  • Black Friday : "Nous prévoyons environ 5 à 8 millions d'attaques quotidiennes de tests d'identité", Vanita Pandey, Threatmetrix

    Les identifiants personnels récupérés à partir des compromissions massives de données en 2017 laissent présager que…

    > En savoir plus...
newsletter
Inscription Newsletter

Restez informé. L’abonnement à la newsletter est gratuit.

> Abonnement

Guide de la cybersécurité 2017-2018

elo_processus pointe_skyscraper
Agenda
livres blancs
Les Livres
Blancs
  • Sauvegarde et Restauration Informatique pour les PME

    > Voir le livre
  • Livre blanc « Digital Needs Trust " : pour construire ensemble un écosystème digital européen…

    > Voir le livre
Global Knowledge_Docker_Skycraper