Monday, February 26, 2007

Les règles d'usage de la biométrie en entreprise

Données personnelles

Parmi les dispositifs utilisant l'empreinte digitale, le contour de la main ou a reconnaissance de la rétine, on distingue les systèmes "sans trace" et "à trace" , aux conditionsd'emploi strictement encadrées.

Les conditions de mise en oeuvre.

D'une manière générale, la Cnil n'autorise que les dispositifs selon lesquels les données biométriques, telles que les empreientes digitalesn sont enregistrées uniquement sur un support individuel (carte à puçe, clé USB), et non dans une base de données centralisée. La Cnil distingue trois cas particuliers : lorsque les dispositifs de recinnaissance du contour de la main servent au contrôle d'accès ainsi qu'à la gestion des horaires et de la restauration sur les lieux de travail; lorsque ces dispositifs constituent un moyen d'accès aux restaurants scolaires; et lorsque les supports individuels sur lesquels sont conservés les données restent sous le contrôle exclusif de la personne consernée. Dans ces trois cas de figure, la Cnil a prévu des formalités allégées, baptisées "autorisations uniques", sortes de décisions cadres autorisant les responsables des traitements à opérer une déclaration de conformité. Mais il faut que les traitements répondent en tout point aux finalités, caractéristiques techniques, données taitées, durées de conservation des données, moyens de sécurité et droits des personnes consernées définies par la Cnil.

L'importance des techniques utilisées

La Cnil a toujours considéré que les dispositifs dits sans traces qui reposent essentiellementn sur l'utilisation de techniques de reconnaissance de rétine ou du contour de la main ne permettent pas d'idetifier un individu à son insu, en collectant ses données biométriques sans qu'il s'en aperçoive. Et comme il ne s'agit pas pour la commission de données biométriques dangeureux, elle autorise en général leur mise en oeuvre. A l'opposé, elle juge que les dispositifs dit à trace, en particulier ceux utilisant la reconnaissance par empreinte digitale, s'avèrent dangeureux, car ils donnent la possibilité de collecter les données biométriques d'une personne à son insu. La Cnil autorise ces derniers lorsqu'il existe un impératif fort de sécurité (le contrôle aux frontières, par exemple) mais également dans le cas comme l'accès à des locaux sécurisés. Enfin elle les autorise lorsque les données sont stockées sur un support individuel (de type carte à puce).

posted by Hervé SCHLECHT @ 8:48 PM