COMMUNICATION – COMMERCE ÉLECTRONIQUE – REVUE MENSUELLE LEXISNEXIS JURISCLASSEUR – JANVIER 2017
Commentaires
Droit des données personnelles
Anne DEBET, professeur à l’université Paris Descartes
Nathalie METALLINOS, avocate à la Cour (cabinet idea), chargée d’enseignement à l’université Paris Sud et au CNAM
Biométrie
Nouvelle évolution de la doctrine de la CNIL en matière de biométrie
La CNIL vient, une nouvelle fois, de modifier sa position en matière de biométrie. Elle a, en effet, publié deux nouvelles autorisations uniques dans le domaine, l’AU-052 et l’AU-053, et abrogé quatre anciennes autorisations. Ces nouveaux textes portent sur les dispositifs ayant pour finalité le contrôle d’accès aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, d’une part, dans l’hypothèse dans laquelle la personne concernée maîtrise son gabarit (AU-052) ; d’autre part dans l’hypothèse d’une conservation des gabarits en base par le responsable de traitement (AU-053). Dans ces deux normes, la CNIL abandonne sa distinction classique entre biométries à traces et sans traces et anticipe sur l’entrée en vigueur du règlement général sur la protection des données en mai 2018. CNIL, Délib. n° 2016-186, 30 juin 2016, portant autorisation unique de mise en oeuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique, AU-052 : JO 27 sept. 2016 CNIL, Délib. n° 2016-187, 30 juin 2016, portant autorisation unique de mise en oeuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, reposant sur une conservation des gabarits en base par le responsable du traitement, AU-053 : JO 27 sept. 2016
Note : La doctrine de la CNIL en matière de biométrie a évolué profondément ces dernières années. Les délibérations du 30 juin 2016 marquent un nouveau tournant majeur sur cette question.Avant cela, laCNIL avait d’abord fait évoluer les finalités susceptibles de justifier un recours à la biométrie sur les lieux de travail. En effet, après avoir dans un premier temps accepté qu’un dispositif biométrique (fondé sur le contour de la main) puisse être utilisé dans le cadre des rapports salariés-employeurs non seulement pour l’accès aux locaux, mais aussi pour une finalité plus sensible, celle du contrôle du temps de travail (CNIL, Délib. n° 2006-101, 27 avr. 2006, portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail, AU-007), elle avait fait évoluer sa position en 2012 (sur cette question V. Comm. com. électr. 2016, comm. 28, nos obs.). Elle considère, depuis lors, comme disproportionnée, par principe, et quelle que soit sa forme (base centrale ou stockage individuel) l’utilisation de la biométrie à des fins de contrôle des horaires (CNIL,Délib. n° 2012-322, 20 sept. 2012, portant autorisation unique de mise en oeuvre de traitements reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la restauration sur les lieux de travail, AU-007). Ce changement de position, qui témoigne sans doute à l’origine d’une réflexion insuffisante notamment sur l’acceptabilité sociale du recours à la biométrie, a d’ailleurs été contesté sans succès devant le Conseil d’État (CE, 10e et 9e ss-sect., 18 déc. 2015, n° 381254 : JurisData n° 2015-028353 ; Comm. com. électr. 2016, comm. 28, nos obs.). Dans les délibérations de 2016 commentées ici, sans revenir sur cette limitation des finalités admises pour la biométrie sur les lieux de travail, la CNIL procède à une véritable remise à plat de sa doctrine. En effet, s’agissant de la biométrie, cette dernière reposait à l’origine sur une double distinction (V. sur celle-ci : « Un siècle de biométrie », inCNIL,Rapportd’activité 2001 :Doc. fr., coll. Rapports officiels, 2002, p. 157 et s., spéc. p. 171). La première concernait les dispositifs biométriques « à traces » et « sans traces ». Les premiers étaient constitués par les empreintes digitales et l’ADN. On les appelait « à traces » car les personnes pouvaient les laisser à leur insu sur tous les objets qu’elles touchaient. Le risque de ces techniques résidait, selon la CNIL, dans le fait que ces traces pouvaient éventuellement être capturées et reproduites à l’insu des personnes (fabrication d’un faux doigt avec une empreinte récupérée, par exemple). Les deuxièmes étaient les dispositifs biométriques « sans traces » comme le contour de la main, le réseau veineux des doigts de la main… et présentaient, selon l’autorité administrative indépendante, moins de dangers. La distinction n’était cependant pas d’une clarté totale puisqu’existaient entre les deux des dispositifs qu’on pouvait qualifier d’intermédiaires (la voix, la forme du visage…), intermédiaires, car si la vidéosurveillance se généralisait et si la technologie de ces procédés se fiabilisait, ils pourraient devenir des biométries à traces. L’autre distinction reposait sur les modalités de stockage des identifiants biométriques (V. sur ce point la communication de la CNIL publiée le 28 décembre 2007 sur son site Internet, intitulée « Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », qui reprend cette distinction antérieurement posée).Deux possibilités de stockage existent : les systèmes de stockage sur support individuel et les bases de données centralisées. Selon la CNIL, dans « le cas d’un stockage sur un support individuel (tel que carte à puce ou cléUSB), exclusivement détenu par la personne concernée, la personne a la maîtrise de sa donnée biométrique. Celle-ci reste sous sa responsabilité et ne peut pas être utilisée pour l’identifier à son insu. En cas de vol ou de perte du support de stockage, on ne peut avoir accès qu’à une seule donnée biométrique éventuellement associée à l’identité de la personne ». Les systèmes de stockage sur un support non individuel impliquent « un stockage sur le terminal de lecture-comparaison ou sur un serveur », dans lesquels « la personne perd la maîtrise de sa donnée biométrique qui est ainsi détenue par un tiers. En cas d’intrusion dans le terminal ou le serveur, on peut accéder à l’ensemble des empreintes ou gabarits qui y sont stockés et qui sont généralement associés aux identités des personnes (…). Les risques de dérive sont plus importants dans le second cas que dans le premier puisqu’il y a là une plus grande concentration de données d’identification dont le contrôle échappe aux personnes concernées » (Communication préc., p. 5). Pendant des années, la position de la CNIL sur la biométrie a reposé sur une combinaison des deux distinctions : – pour les biométries « à traces », hostilité de principe envers les bases de données centralisées et préférence pour les systèmes de (…)
Télécharger l’intégralité du commentaire au format PDF
COMMUNICATION – COMMERCE ÉLECTRONIQUE – REVUE MENSUELLE LEXISNEXIS JURISCLASSEUR – JANVIER 2017
Le mensuel dédié à la propriété intellectuelle, aux droits des réseaux et des médias.
Auteurs : Christophe Caron, Éric A. Caprioli, Anne Debet, Agathe Lepage, Grégoire Loiseau, Olivier de Mattos, Nathalie Metallinos, Florence Meuris