Les nouvelles règles encadrant l'utilisation des empreintes digitales
DEREK PERROTTE
Publié le : 27 Décembre 2007
|
Très en vogue, la reconnaissance digitale est source de difficultés juridiques car les empreintes constituent des biométries « à trace » : contrairement aux biométries « sans trace » (iris, contour de la main), elles peuvent en effet être capturées sur un objet, puis dupliquées. En résultent des risques accrus de vol ou d'utilisation abusive. En outre, les empreintes des salariés doivent être stockées dans la mémoire de la borne de lecture de leur doigt. Le système nécessite donc la création d'une base centrale de données personnelles, avec le risque que celle-ci soit à terme utilisée à d'autres fins, par exemple dans le cadre d'une enquête policière. Ces risques amènent la CNIL à appliquer des critères d'autorisation plus exigeants que pour les biométries « sans trace ». Les recommandations présentées par la CNIL dressent les grandes lignes à respecter pour espérer être autorisé à appliquer une reconnaissance digitale.
• Le dispositif doit se justifier pour des raisons de sécurité
La reconnaissance des empreintes digitales doit être
« limité
[e]
au contrôle de l'accès à une zone bien déterminée »
et, dans certains cas, à l'accès à des outils informatiques ou à des machines. Surtout, elle doit avoir une finalité
« sécuritaire ou protectrice de l'activité exercée »
et la zone concernée doit
« représenter ou contenir un enjeu majeur dépassant l'intérêt strict de l'entreprise »
. Autrement dit, le dispositif doit être justifié par le danger, pour la collectivité ou le salarié, que représenterait l'intrusion de personnes non autorisées. Il s'agit, par exemple, de l'accès à des entreprises liées à l'armée, à des cabinets de gestion de brevets, à des bases de données sensibles... Pas question de recourir aux empreintes digitales pour un simple contrôle des horaires ou la protection contre le vol d'une salle informatique non sensible. Dans ce type de cas, il faut recourir à de la biométrie « sans trace ».
• Un système proportionnel aux objectifs poursuivis
Pour la La Commission nationale de l'informatique et des libertés, il importe de savoir si le système proposé, eu égard aux risques qu'il comporte en termes de protection de données personnelles, est bien adapté à la finalité préalablement définie. Le recours aux empreintes digitales est-il vraiment nécessaire ? Les employeurs sont donc invités à étudier l'opportunité d'utiliser d'autres types de systèmes de sécurité si ceux-ci présentent un niveau équivalent, ou suffisant, de sécurité par rapport à l'enjeu.
• Sécuriser les données et informer les salariés
La CNIL porte une attention marquée à la sécurisation des données collectées, ce qui peut, pour les entreprises, nécessiter une lourde adaptation de l'architecture de leur système d'information. Les données doivent être effacées dès que la personne n'est plus habilitée à pénétrer dans la zone (démission, retraite, changement de poste, etc.). Lors de la mise en oeuvre de systèmes biométriques, l'entreprise doit informer les personnes concernées de la finalité du dispositif, des destinataires des données et des modalités d'exercice de leur droit d'accès aux données (par exemple à l'historique des passages aux bornes). Lorsque les personnes concernées sont des salariés de l'entreprise, la CNIL recommande de consulter les instances représentatives du personnel. Leur accord n'est pas indispensable mais est
« pris en considération »
dans l'examen des demandes d'autorisation.
Tous droits réservés (2007) LES ECHOS
Toutes les infos 
Etudiants
Accueil
