Vouée à renforcer la sécurité, qu’en est-il de la transparence et de la sécurité des traitements ? Les réponses d’Isabelle Renard, Avocat au barreau de Paris, Docteur ingénieur. www.irenard-avocat.com
Il faut tout d’abord rappeler qu’un traitement de données biométriques, c’est-à-dire de données liées aux caractéristiques physiques, biologiques, ou comportementales d’une personne, est un traitement de données personnelles soumis en tant que tel à la loi du 6 janvier 1978 dite « informatique et libertés ».
Selon cette loi (article 25), un traitement de données biométriques ne peut être mis en œuvre qu’après autorisation de la CNIL dès lors qu’il est utilisé pour contrôler l’identité des personnes.
A contrario, si le traitement n’est pas utilisé à cette fin : par exemple un enregistrement vocal pour confirmer l’accord d’une personne sur un contrat conclu en ligne ou par téléphone, il ne sera pas soumis à autorisation mais devra faire l’objet d’une déclaration.
La CNIL, considérant les dangers potentiels des applications biométriques pour la vie privée des personnes, a développé depuis plusieurs années un certain nombre de principes sur lesquels elle s’appuie pour autoriser, ou non, le traitement envisagé. Ces principes sont les suivants :
- La finalité du traitement est-elle proportionnelle aux risques en matière de protection des données et de la vie privée ?
- La sécurité des données est-elle correctement assurée ?
- Les personnes concernées ont-elles été suffisamment informées de l’existence, de la finalité et des modalités du traitement ?
La transparence du traitement est un élément fondamental de la licéité de celui-ci aux yeux de la CNIL, qui exige que les personnes concernées soient informées du caractère facultatif ou obligatoire du traitement, des destinataires des données, et des façons dont elles peuvent accéder à leurs données ou en demander l’effacement. Les modalités de cette information varient selon le contexte. Elles sont relativement simples et classiques s’agissant de contrôles ou d’enregistrements biométriques dans un cadre professionnel, où les modalités d’information des salariées sont étroitement encadrées par le droit social. Elles sont plus illusoires s’agissant de contextes où les personnes concernées n’ont pas vraiment le choix, comme pour l’obtention d’un passeport ou l’accès à certains soins dans un hôpital.
La seconde exigence porte sur la sécurité des données, qui doit être particulièrement renforcée s’agissant de données biométriques dont le détournement peut porter un grave préjudice à l’individu puisque, contrairement à un mot de passe, il n’est pas possible à une personne de changer ses données biométriques (à part dans les films de science-fiction pour l’instant). Dès lors, la compromission d’un identifiant biométrique prive de facto la personne concernée de la possibilité de l’utiliser, ce qui peut avoir de graves conséquences. Ainsi, la CNIL exige que l’accès à ces données soit limité au strict nécessaire, dans le cadre d’une gestion rigoureuse de la traçabilité des accès et des habilitations.
Qu’en est-il de l’information sur les finalités de traitement sur les destinataires, le lieu et la durée de conservation des données ?
Le destinataire doit être informé de la finalité du traitement par tout moyen adapté au contexte, qui varie bien entendu selon l’application. On assiste par exemple à un fort déploiement des sites qui exploitent des données comportementales très privées (comme certains sites médicaux), qui sont des données biométriques associées à l’identité d’une personne. Or, certains sites, notamment d’origine non européenne, informent de façon tout à fait insuffisante les internautes de la finalité du traitement des données et du sort de celles-ci, qui sont souvent revendues de façon tout à fait illicites à d’autres entreprises qui les exploitent pour envoyer des publicités personnalisées extrêmement intrusives.
Le lieu de conservation de la donnée n’est pas un critère déterminant en tant que tel. Il est directement lié à sa sécurité, qui peut être prise en défaut aussi bien sur un serveur localisé en France si celui-ci est mal protégé que dans une infrastructure Cloud sans traçabilité des accès.
Quant à la durée de conservation de la donnée, la CNIL impose qu’elle soit la plus courte possible et que la donnée soit effacée du système dans un délai très court après sa durée de vie utile.
Quelles sont les voies de recours juridiques possibles ?
Si la société responsable du traitement est située en France, la voie de recours la plus simple consiste à écrire à la CNIL si la société concernée ne répond pas aux demandes et observations qui lui sont adressées.
Si la société est située en Europe, la situation est actuellement assez complexe car il peut y a voir plusieurs offices de protection des données impliqués, dont la coordination n’est pas nécessairement efficace. Ce point sera amélioré par le futur règlement européen de protection des données personnelles, qui prévoit la centralisation des traitements impliquant plusieurs pays européens sur un seul office.
Si le responsable du traitement n’est pas en Europe, les recours sont, clairement, extrêmement illusoires.
Qu’en est-il au niveau national et européen ?
Un règlement européen sur la protection des données personnelles qui remplacera l’actuelle loi Informatique et Libertés est attendu, dans un délai que l’on espère maintenant prochain.
Le sort des traitements biométriques fait encore l’objet de discussions au sein de la commission, de sorte que l’on ne peut pas avoir une vision claire de la façon dont le sujet sera abordé lorsque le règlement entrera en vigueur. On ne peut en tous cas pas exclure que, sous l’effet des risques sécuritaires et du lobby de certains fournisseurs qui introduisent de la biométrie dans leurs applications commerciales, le régime d’autorisation de ces traitements ne soit assoupli par rapport à la position actuelle de la CNIL sur le sujet, qui est très stricte.
