Biométrie

Informatique et libertés Biométrie Biométrie sur le lieu de travail La Cnil a adopté une autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l’accès aux locaux sur le lieux de travail. Rappelons que de tels dispositifs relèvent de l’article 25-I (8°) de la loi Informatique et Libertés, qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes. La Cnil considère donc que la gestion des contrôles de l’accès physique à l’entrée des lieux de travail et dans les zones limitativement identifiées de l’organisme faisant l’objet d’une restriction de circulation, peuvent s’effectuer grâce à la mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du réseau veineux des doigts de la main. Autorisation unique AU-019 du 7-5-2009, JO du 21 juin 2009 (Mise en ligne Juillet 2009)

Informatique et libertés Biométrie Début du voyage pour le passeport biométrique « Plus de rapidité, de facilité, et de sécurité » voilà résumés les avantages décrits par le Ministre de l’intérieur lors de la remise à un administré de Chantilly, le 31 octobre dernier, du premier passeport biométrique. Conformément au règlement n°2252/2004 du 13 décembre 2004 du conseil européen, la France devra être en mesure de délivrer sur son territoire des passeports biométriques contenant les empreintes digitales numérisées de leur titulaire. Le dispositif juridique mis en place notamment par le décret n°2008-426 du 30 avril 2008, qui modifie le décret n°2005-1726 du 30 décembre 2005, a été validé par la Cnil en décembre 2007 qui a demandé, d’une part, des garanties techniques pour renforcer la protection des données qui seront ainsi centralisées sur un serveur parisien et d’autre part, un encadrement par le Conseil d’Etat. Le déploiement des machines a connu des difficultés et a pris du retard. L’Etat, qui a investi dans 4000 machines permettant de numériser la photo et quatre empreintes digitales du titulaire, doit les déployer dans près de 2000 mairies d’ici juin 2009, date butoir fixée par l’union Européenne. Egalement, le projet de loi sur la protection de l’identité, qui doit conférer aux communes une compétence spécifique à l’instruction des demandes de passeports, ne sera examiné devant le Parlement qu’en début d’année 2009. Certains élus ont fait savoir que le dispositif mis en place pose des interrogations, notamment s’agissant d’un système qui ne pourra couvrir l’ensemble du territoire ou encore sur la sécurité des liaisons informatiques concernant les données à caractères personnel. Dans ce contexte, les informations des cinq départements pilotes (Gironde, Aube, Loire-Atlantique, Nord et Oise) devraient permettre de répondre à ces questions, d’évaluer également le temps de traitement des demandes face à de nouvelles exigences en matière biométrique qui concernent la sécurité des données. Pour les maires, il apparaît nécessaire de revoir le montant et le déclenchement de l’indemnisation des communes, fixé à 3 200 euros par machine et par an pour les frais qu’elles engageront pour les demandeurs d’un passeport qui ne résideraient pas sur leur territoire. Le directeur de l’agence nationale des titres sécurisés a, par ailleurs, précisé, le 29 octobre dernier, que des machines supplémentaires seraient mise à dispositions des communes et que serait financé des projets d’accessibilité des mairies dans la limite de 4000 euros par projet. Communiqué du Ministère de l’intérieur du 31 octobre 2008 (Mise en ligne Novembre 2008)

Informatique et libertés Biométrie Pas de contrôles biométriques à base d’empreintes digitales dans les écoles En juin 2008, la Cnil a refusé d’autoriser un dispositif biométrique reposant sur l’empreinte digitale pour contrôler l’accès à un établissement scolaire ainsi que la présence des élèves. C’est ce que vient d’annoncer la Cnil dans un communiqué paru le 25 septembre sur son site. Le dispositif repose sur la reconnaissance des empreintes digitales avec un stockage sur une base de données pour contrôler l’accès à un lycée et la présence des élèves. Pour justifier son refus, la Cnil considère que la mise en place d’un tel dispositif n’est pas justifiée compte tenu de l’absence d’un « fort impératif de sécurité ». Il ne s’agit pas en l’espèce de sécuriser l’accès d’un nombre limité de personnes à une zone bien déterminée, « représentant un enjeu majeur dépassant l’intérêt strict de l’organisme » (type centrale nucléaire, aéroport, etc.). La délibération de refus n’est pas encore parue au journal officiel. Communiqué Cnil du 25 septembre 2008 (Mise en ligne Septembre 2008)

Informatique et libertés Biométrie Le passeport électronique est mort, vive le passeport biométrique Le décret nécessaire à la mise en place du passeport dit « biométrique » est paru le 30 avril 2008. Il a été validé par la CNIL en décembre 2007 qui a demandé des garanties techniques pour mieux protéger les données (désormais centralisées sur un serveur à Paris) et par le Conseil d’Etat. Le passeport biométrique succédera ainsi progressivement au passeport « électronique ». Les expérimentations vont en effet pouvoir commencer dans cinq départements tests (Nord, Oise, Aube, Gironde, Loire-Atlantique) et une petite dizaine de villes. Les tests auront lieux entre mai et septembre 2008. Les mairies seront ensuite progressivement équipées de machines permettant la fabrication de passeports biométriques avec des normes conformes à celles de l’aviation civile internationale, entre octobre 2008 et juin 2009. Cela représente 2000 mairies qui percevront par ailleurs, une indemnité forfaitaire annuelle de 3 250 euros pour cette activité de fabrication des passeports. Enfin, rappelons que les passeports biométriques français doivent être disponibles avant le 28 juin 2009 conformément à l’accord européen du 13 décembre 2004. Décret n°2008-426, 30 avril 2008, JO 4 mai 2008 (Mise en ligne Mai 2008)

Pénal numérique Biométrie Mise en place en France de passeports électroniques biométriques Le décret du 30 décembre 2005 permet la mise en place en France de passeports électroniques biométriques contenant d’une part les données habituelles contenues par les passeports et d’autre part l’image numérisée de leur titulaire. Il a pour finalité de faciliter l’authentification de son détenteur, de lutter contre la fraude documentaire et de simplifier la vie quotidienne des administrés, ce passeport permettant à toute personne de justifier de son identité. Une puce sans contact sera intégrée au nouveau passeport comportant l’ensemble des données habituelles des passeports (nom de famille, prénoms, couleur des yeux, taille, nationalité, domicile, date de délivrance, numéro de passeport etc.) ainsi que l’image numérisée de son titulaire. Sa durée de validité sera de dix ans et de cinq ans pour les mineurs. Le décret prévoit un titre 2 concernant les traitements automatisés de données à caractère personnel relatifs à délivrance du passeport électronique. Dans un souci de respect de la loi Informatique et libertés du 6 janvier 1978, le décret précise les catégories de données qui pourront être traitées par le Ministre de l’intérieur. Les destinataires de ces données sont également prévus. Il s’agit de certains fonctionnaires du Ministère de l’intérieur et du Ministère des affaires étrangères, des agents des préfectures et des sous-préfectures chargés de la délivrance des passeports, des agents diplomatiques et consulaires chargés de la délivrance des passeports et également des personnels chargés des missions de recherche et de contrôle de l’identité des personnes, de vérification de la validité de l’authenticité des passeports au sein des services de la police nationale, de la gendarmerie nationale et des douanes. Le décret précise également les possibilités d’interconnexion entre ce système de traitements automatisés et les systèmes d’information Schengen et Interpol. La durée de conservation de ces données est fixée à quinze ans pour les passeports délivrés au majeurs et de dix ans lorsqu’ils sont délivrés à des mineurs. Enfin, le décret précise les conditions de l’exercice du droit d’accès et de rectification des titulaires des passeports auprès des autorités de délivrance, étant précisé que les titulaires de passeport n’ont pas de droit d’opposition conformément à l’article 38 de la loi du 6 janvier 1978. Ce décret fait suite à l’avis favorable rendu par la Cnil le 22 novembre 2005 relatif au projet de décret concernant « les passeports électroniques ». La Cnil considère que la mise en place de ces nouveaux passeports biométriques, faisant suite au règlement européen du 13 décembre 2004, prévoit des mesures de sécurité satisfaisantes pour garantir l’authentification, la confidentialité et l’intégrité des données. Ainsi, les données ne pourront être lues que si le passeport est présenté ouvert les échanges de données entre la puce sans contact et le lecteur seront cryptés et le contenu de la puce sera limité aux informations figurant déjà sur le passeport. La Cnil relève également que la production des passeports sera centralisée et prend acte des précautions particulières prises par le Ministère de l’intérieur quant à l’externalisation de la production des nouveaux titres. La Cnil note enfin que le Ministère de l’intérieur n’envisage pas pour l’heure que la photographie numérisée du titulaire du passeport soit utilisée dans le cadre de dispositifs automatisés de reconnaissance faciale en France, même si une telle reconnaissance faciale pourrait intervenir à l’étranger. La Cnil émet cependant deux souhaits.Elle demande à être informée dans un délai de trois mois du renforcement des mesures prises pour assurer le contrôle des accès au fichier national des passeports, une personne devant être désignée pour assurer le contrôle effectif des consultations de ce fichier. Ces nouveaux passeports biométriques devraient être mis en place en France dès octobre 2006. Décret n°2005-1726 du 30 décembre 2005 relatif au passeport électronique

Informatique et libertés Biométrie L’usage de l’empreinte digitale encadré par la Cnil La Cnil a publié une communication le 28 décembre 2007 relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données. Il s’agit de permettre aux entreprises, administrations et collectivités locales qui envisagent de se doter de tels dispositifs de se poser « les bonnes questions informatique et libertés » avant de prendre leur décision et de déposer, auprès d’elle, une demande d’autorisation adéquate. Pour la Commission, la finalité d’un dispositif de reconnaissance des empreintes digitales doit être limitée au contrôle d’accès d’un nombre limité de personnes à une zone bien déterminée : représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme et ayant trait à la protection de l’intégrité physique des personnes ou à celle des biens et des installations ou à celles de certaines informations. En ce qui concerne les biens et les installations, ce qui est en jeu, c’est le dommage grave et irréversible qui peut leur être porté, indépendamment de la valeur du bien lui-même (sauf cas exceptionnels) et sous réserve que cela dépasse l’intérêt strict de l’organisme. Il s’agit par exemple du contrôle d’accès à certaines zones d’une entreprise travaillant pour la Défense nationale, ou encore au centre de contrôle et de sécurité d’une grande entreprise de messageries. En ce qui concerne les personnes, ce qui est en jeu, c’est leur intégrité physique. Il doit par exemple s’agir de protéger des installations comportant un risque élevé d’explosion ou de diffusion de matières dangereuses ou de détournement de celles-ci par des tiers non autorisés ou d’assurer la protection de personnes exposées à des risques particuliers en raison de leurs activités. Enfin, en ce qui concerne la protection des informations, il s’agit de celles devant faire l’objet d’une protection particulière en raison des conséquences que leur divulgation, leur détournement à d’autres fins ou leur destruction auraient pour les personnes concernées par l’activité de l’entreprise (secret défense, secret industriel, secret professionnel). Communication de la CNIL du 28/12/2007 disponible sur le site de la Cnil Paru dans la JTIL n°19/2008 p.1 (Mise en ligne Janvier/Février 2008)

La biométrie fait son entrée dans l’entreprise : la Cnil rappelle les règles (Mise en ligne Janvier 2007) La CNIL adopte trois autorisations uniques relatives aux techniques biométriques (Mise en ligne Avril 2006) 26ème Rapport d’activité 2005 : La CNIL fait la synthèse de ses décisions en matière de biométrie (Mise en ligne Mars 2006) Autorisation de deux dispositifs reposant sur la reconnaissance du contour de la main dans le cadre de contrôles d’accès à des cantines scolaires (Mise en ligne Janvier 2006)

Informatique et libertés Biométrie L’encadrement des dispositifs biométriques Aux termes de l’article 25 de la loi Informatique et libertés modifiée, la Cnil doit être sollicitée pour donner son autorisation à la mise en place de solutions biométriques par des organismes, collectivités locales ou entreprises. Sont en effet mis en œuvre après autorisation « les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes ». Le 27 avril 2006, la Cnil a adopté trois autorisations uniques en matière de biométrie. En ce qui concerne la méthodologie pratique, il suffira d’un simple engagement de conformité, qui peut être effectué en ligne, pour déclarer les traitements répondant aux normes d’autorisations uniques. Le première autorisation concerne les traitements reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d’accès et la gestion des horaires et de la restauration sur le lieu de travail (1). La seconde autorisation concerne les traitements reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès aux restaurants scolaires (2). La troisième autorisation concerne les traitements reposant sur la reconnaissance d’une empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail (3). Ces trois autorisations uniques définissent les finalités, les caractéristiques techniques, les données traitées, la durée de conservation des données, les moyens de sécurité et les droits des personnes concernées caractérisant la mise en œuvre de ce type de traitements. Les responsables des traitements peuvent procéder à la déclaration de conformité à l’aide d’un formulaire accessible sur le site de la Cnil. Ces normes d’utilisation unique répondent à une utilisation croissante des dispostifs biométriques. Ces autorisations permettent d’alléger considérablement les lourdeurs administratives liées aux procédures d’autorisation ; cependant, afin de garantir une protection adéquate des libertés individuelles, ces autorisations uniques ne concernent que des traitements biométriques sans dangers, puisque concernant uniquement des dispostifs sans traces. (1)Norme AU-007, Délibération n°2006-101 du 27 avril 2006 (2)Norme AU-009, Délibération n°2006-103 du 27 avril 2006 (3)Norme AU-008, Délibération n°2006-102 du 27 avril 2006 (Mise en ligne Avril 2006)

Informatique et libertés Biométrie La Cnil commente la loi « antiterrorisme » La Commission nationale Informatique et libertés publie un échos des séances le 16 février 2006 dans lequel elle revient sur la loi du 23 janvier 2006 relative à la lutte contre le terrorisme. La Cnil constate que certaines de ses propositions ont été prises en compte lors de l’adoption de cette loi mais que d’autres sont restées lettre morte. La loi « antiterroriste » prévoit ainsi la mise en place de nouveaux traitements de données à caractère personnel permettant la vidéosurveillance et la transmission aux services de police de données sur les passagers se rendant dans des pays situés hors de l’Union européenne ou en provenance de ces pays. Elle prévoit également la lecture des plaques minéralogiques et la photographie des occupants des véhicules, l’accès aux données de connexion internet et téléphonie conservées par les opérateurs de communications électroniques et les cybercafé et la consultation par les services antiterroristes de fichiers administratifs détenus par le Ministère de l’intérieur. Sur recommandation de la Cnil, la loi a été amendée et précise les services de police et de gendarmerie qui pourront accéder aux données collectées. Elle limite également dans le temps certains dispositifs de surveillance et prévoit l’élaboration d’un rapport d’évaluation annuel au Parlement. Cependant la Cnil avait exprimé des réserves, non suivies d’effe,t relatives à la prise systématique de photographies des occupants de l’ensemble des véhicules empruntant certains axes de circulation, à la multiplicité des finalités attachées au dispositif de lutte contre le terrorisme et à la constitution d’un fichier central de contrôle des déplacements en provenance ou à destination d’états hors de l’Union européenne La Cnil devrait être de nouveau saisie pour avis lors de l’élaboration des textes d’applications de la loi « antiterrorisme ». Elle devrait donc avoir l’occasion de repréciser les finalités que devrait avoir chacun des traitements de donnés, la nature des données traitées, leurs durées de connexion et la sécurité qui y est attachée. Loi n°2006-64 du 23 janvier 2006 (Mise en ligne Janvier 2006)