La CNIL collabore à l'acceptation
La Commission nationale de l’informatique et des libertés (Cnil) a publié un guide, à destination des entreprises, définissant les principaux critères d’autorisation au recours à des dispositifs biométriques.
Aux termes de la loi informatique et libertés de 2004, la Commission nationale de l’informatique et des libertés (Cnil) dispose d’un pouvoir d’autorisation des dispositifs biométriques (par reconnaissance des empreintes digitales, par exemple). Dans ce cadre, la Commission vient de publier un guide à destination des entreprises, qui précise les principaux critères d’autorisation au recours à ce type de système de sécurité. Partant du constat que l’empreinte digitale est une biométrie laissant des traces pouvant être exploitées ou capturées à l’insu des personnes et être utilisées notamment pour usurper leur identité, la Cnil a émis quatre exigences.
Quatre exigences
Premier point, ce dispositif ne se justifie que s’il se limite au contrôle de l’accès d’un nombre limité de personnes à une zone déterminée « représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme, tel que la protection de l’intégrité physique des personnes, de celle des biens et des installations ou encore de certaines informations » précise l’organisme. Il peut, par exemple, s’agir de sécuriser l’accès à une centrale nucléaire ou d’une cellule de production de vaccins. Deuxième condition : le système biométrique doit être adapté à sa finalité « eu égard aux risques qu’il comporte en matière de protection des données à caractère personnel ». Troisième principe : le dispositif doit permettre une authentification fiable des personnes tout en garantissant la non-divulgation des données personnelles. Enfin, dernière mesure, les personnes concernées par ces systèmes doivent en être informées.
Quatre exigences
Premier point, ce dispositif ne se justifie que s’il se limite au contrôle de l’accès d’un nombre limité de personnes à une zone déterminée « représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme, tel que la protection de l’intégrité physique des personnes, de celle des biens et des installations ou encore de certaines informations » précise l’organisme. Il peut, par exemple, s’agir de sécuriser l’accès à une centrale nucléaire ou d’une cellule de production de vaccins. Deuxième condition : le système biométrique doit être adapté à sa finalité « eu égard aux risques qu’il comporte en matière de protection des données à caractère personnel ». Troisième principe : le dispositif doit permettre une authentification fiable des personnes tout en garantissant la non-divulgation des données personnelles. Enfin, dernière mesure, les personnes concernées par ces systèmes doivent en être informées.