La biométrie est l’ensemble des procédés permettant d’identifier un individu à partir de ses caractéristiques physiques, physiologiques ou comportementales. Les procédés biométriques nécessitent donc la collecte de données à caractère personnel telles que les empreintes digitales, l’iris de l’œil, le contour de la main ou tout simplement la signature d’une personne. Ces données dites « d’identité » sont hautement sensibles car elles sont immuables. Le détournement de ces données pourrait donc avoir des conséquences dramatiques pour la personne concernée. Dans ce contexte, la loi encadre très strictement le traitement des « données d’identité ».
A ce titre, tous les dispositifs biométriques sont soumis à l’autorisation préalable de la Cnil. Il est à noter que l’autorisation de la Cnil peut être obtenue plus ou moins rapidement en fonction des modalités de mise en œuvre du traitement des données biométriques (sécurité, finalité, proportionnalité des données collectées, modalités de stockage….). Par exemple, les dispositifs biométriques reposant sur le stockage des empreintes digitales dans un support individuel bénéficient d’un régime d’autorisation simplifié.
Une constante reste : la nécessité, pour le responsable de traitement d’obtenir une autorisation préalable de la Cnil. Le Responsable du traitement est, ici, l’acheteur du dispositif biométrique.
Il convient donc pour l’acheteur de sécuriser juridiquement le fait que le dispositif qui lui est vendu est conforme à la réglementation en vigueur. A défaut, le client ne peut pas obtenir d’autorisation de la Cnil et par conséquent ne peut pas utiliser son dispositif biométrique.
Il est donc impératif de prendre en compte cette information dans la sécurisation de vos contrats d’achats/vente de dispositifs biométriques.
En effet, dans un arrêt du 23 février 2011, la Cour d’appel de Paris a condamné une société ayant fourni à son client un dispositif biométrique non conforme à la réglementation en vigueur au moment de la livraison du matériel. Ce dispositif ne pouvait donc pas obtenir une autorisation de la Cnil. Dès lors, les contrats de fourniture/maintenance/location du matériel ont été résolus aux torts de la société ayant fourni le dispositif biométrique.
La Cour d’appel rappelle ainsi que :
le prestataire s’est engagé contractuellement à fournir un matériel conforme à la réglementation en vigueur, en ce compris les recommandations de la Cnil ;
le client, même s’il a signé le PV de réception du matériel, peut se prévaloir de l’obligation du prestataire de lui remettre un matériel conforme à la réglementation en vigueur.
Dans le cadre d’achat/vente de dispositifs biométriques, il est vivement conseillé de se conformer aux dispositions légales et recommandations de la Cnil mais également de réfléchir préalablement à l’architecture contractuelle la plus protectrice des intérêts de votre entreprise.
Ce qui est valable pour les dispositifs biométrique l’est également pour tout matériel sur le marché….alors…Pensez-y !!