Le 21 juin 2009, la CNIL a publié une autorisation unique relative au contrôle d’accès sur les lieux de travail au moyen d’un dispositif biométrique utilisant la technologie de reconnaissance du réseau veineux des doigts de la main (1).
Cette technologie, qui repose sur la reconnaissance de l’entrelacement des vaisseaux sanguins du doigt, fonctionne de la façon suivante. Après avoir été enregistré dans une base de données, l’utilisateur appose son doigt sur le capteur qui procèdera à la comparaison de son réseau veineux avec le gabarit biométrique (2) enregistré. Si le réseau veineux et le gabarit biométrique correspondent, le terminal autorisera l’accès aux locaux.
Cette technologie récente se distingue de la reconnaissance des empreintes digitales (3) puisqu’elle ne laisse pas de traces et présente ainsi un faible de risque de réutilisation des données biométriques par des tiers (les éléments de reconnaissance sont situés à l’intérieur du corps).
Or, l’utilisation d’un dispositif biométrique, quelle que soit la technologie utilisée (empreinte digitale, réseau veineux, contour de la main, voix, iris), est en principe conditionnée par l’autorisation préalable de la CNIL (4) ; le silence de la CNIL passé un délai de deux mois vaut rejet de la demande d’autorisation.
Toutefois, la CNIL a déjà simplifié les démarches en prévoyant des autorisations uniques relatives à des dispositifs biométriques permettant de garantir la sécurité et la confidentialité des données des individus. Les autorisations uniques établies en 2006 portaient sur (i) l’utilisation de la technologie de reconnaissance du contour de la main pour l’accès aux cantines scolaires (5) et au contrôle des horaires dans l’entreprise (6) et (ii) le contrôle de l’accès aux locaux au moyen d’un système de reconnaissance d’une empreinte digitale (7) (sous réserve que les données biométriques ne soient pas stockées dans une base centralisée).
Après avoir accordé un certain nombre d’autorisations individuelles, et pour faire face à une augmentation importante des demandes d’autorisation depuis un an, la CNIL a ainsi décidé de faciliter également les formalités relatives à l’utilisation de la technologie de reconnaissance du réseau veineux des doigts de la main.
Pour qui souhaite désormais installer une solution biométrique utilisant cette technologie conformément aux indications de l’AU-19, les démarches auprès de la CNIL se résument à remplir un formulaire sur le site de la CNIL aux termes duquel le responsable du traitement des données s’engage à respecter les conditions d’utilisation prévues dans l’AU-19. Une fois le formulaire complété, le dispositif peut être installé et mis en œuvre immédiatement. Grace à cette autorisation unique, on passe ainsi d’un régime de contrôle a priori (autorisation préalable) à un régime de contrôle a posteriori (déclaration de conformité).
Ce nouveau régime change donc substantiellement la donne par rapport à l’autorisation préalable relative aux dispositifs qui utilisent la reconnaissance des empreintes digitales car elle est la première à faciliter réellement l’utilisation d’une clé biométrique pour accéder aux locaux professionnels.
Rappelons que pour un système similaire de contrôle d’accès basé sur la reconnaissance des empreintes digitales, l’autorisation préalable de la CNIL est en principe accordée uniquement si l’on justifie d’un « impératif de sécurité ». La CNIL fonde sa position sur le fait que les empreintes digitales enregistrées et conservées dans une base de données centralisée peuvent être utilisées par des tiers en violation des droits des individus (notamment en les recoupant avec des traces laissées par des empreintes digitales). Ce régime d’autorisation présente donc l’inconvénient de limiter considérablement le nombre d’autorisations puisque seuls les établissements à risque entrent dans la définition de l’impératif de sécurité (ex : Ceveso, secret défense). De nombreuses entreprises avaient donc renoncé à recourir à des lecteurs d’empreintes digitales contenant des bases de données puisqu’il était très difficile, voire impossible, d’obtenir une autorisation de la CNIL.
L’autorisation unique AU-07, relative au contrôle de l’accès aux locaux au moyen d’un système de reconnaissance d’une empreinte digitale, présente pour sa part l’inconvénient d’utiliser à la fois son empreinte digitale et une carte contenant le gabarit biométrique de l’utilisateur, donc un support qu’il ne faut pas oublier. Même si la sécurité est renforcée, il est plus pratique de continuer à utiliser un badge ou une clé tout simplement. Cette solution n’a pas rencontré le succès escompté.
Avec l’AU-19 portant sur une technologie plus rassurante, il est à parier que les entreprises vont se tourner vers les systèmes de reconnaissance du réseau veineux qui offrent davantage de garanties aux yeux de la CNIL et qui sont soumis à des formalités allégées. Elle devrait donc contribuer à démocratiser l’usage de la biométrie en France, à l’instar de nos voisins européens qui ont déjà une bonne longueur d’avance dans ce domaine.
Attention toutefois à l’utilisation qui est envisagée. En effet, l’AU-19 concerne uniquement le contrôle d’accès aux locaux et exclut explicitement celui des horaires, ce dernier étant encore soumis à une autorisation préalable de la CNIL.
Par ailleurs, l’allègement des formalités ne dispense pas d’informer les individus (8). Pour mémoire, le défaut d’information exhaustif des individus est sanctionné par une contravention de cinquième classe (9) par infraction constatée (c’est-à-dire par individu non informé), soit 1 500 euros (10).
Enfin, l’AU-19 précise que les instances représentatives du personnel devront être consultées et les salariés informés individuellement par la voie d’une note.
Si le formalisme vis-à-vis de la CNIL est allégé et les conditions d’obtention de l’autorisation simplifiées, il n’en reste pas moins que l’employeur souhaitant installer ce type de contrôle d’accès dans son entreprise devra continuer à remplir ses obligations de consultation et d’information.
Sébastien Laloue
Avocat
De Gaulle, Fleurance et Associés
(1) Autorisation Unique AU-19 sur les dispositifs biométriques utilisant la reconnaissance du réseau veineux des doigts de la main mis en œuvre afin de contrôler l’accès aux locaux sur les lieux de travail.
(2) Le gabarit biométrique est la transcription de l’image du réseau veineux qui sera stocké dans une base de données (externe ou localisée dans le terminal).
(3) La reconnaissance des empreintes digitales est basée sur l’analyse des sillons du doigt et permet d’identifier les points uniques de l’empreinte
(4) Article 25-8 de la loi du 6 janvier 1976 relative à l’informatique, aux fichiers et aux libertés dites « Loi Informatique et Libertés ».
(5) Autorisation unique n°09 disponible sur le site de la CNIL www.cnil.fr
(6) Autorisation unique n°08 disponible sur le site de la CNIL www.cnil.fr
(7) Autorisation unique n°07 disponible sur le site de la CNIL www.cnil.fr
(8) Article 32 de la Loi Informatique et Libertés.
(9) Art. R. 625-10 du Code pénal
(10) Article 131-13 du Code pénal
