Les faits : Particulièrement plébiscité par les GAFA comme étant l’un des dispositifs d’identification les plus sécurisés, l’usage de la biométrie dans les services du quotidien connaît un développement exponentiel. Eu égard à leur particulière sensibilité, ces données bénéficient d’un régime de protection renforcée, consacré par le RGPD.

Utilisée pour contrôler l’accès à des locaux, ouvrir une application, déverrouiller son téléphone ou son ordinateur, démarrer son véhicule ou effectuer un paiement électronique, la biométrie regroupe l’ensemble des techniques permettant de reconnaître un individu à partir de ses caractéristiques physiques, biologiques ou comportementales. Cependant, si la reconnaissance vocale, les empreintes digitales, la rétine de l’œil ou le réseau veineux de la paume de main permettent la mise en œuvre de dispositifs d’authentification très sécurisés, leur caractère unique présente également paradoxalement des faiblesses, ces données ne pouvant pas, par définition, être remplacées ni modifiées, y compris en cas de vol, contrairement à un mot de passe ou une adresse e-mail. Le Règlement européen sur la protection des données personnelles, entré en vigueur le 25 mai dernier, consacre donc une protection particulière aux données biométriques, qu’il classe dans la catégorie de données dites « sensibles », lorsqu’elles sont utilisées à des fins d’authentification ou d’identification d’un individu. Du fait du risque d’atteinte aux droits et libertés que son usage représente, le recours à la biométrie doit être justifié par un besoin spécifique, comme l’accès à un service, et ne peut donc être limité à une simple fonctionnalité ludique. Au-delà de l’obligation d’information préalable renforcée sur le dispositif et le recueil du consentement explicite et spécifique d’un usager à son authentification biométrique, la personne doit impérativement se voir offrir la possibilité de choisir un dispositif alternatif d’identification, comme un simple mot de passe, sans aucune contrainte additionnelle tel qu’un tarif plus élevé. Dans le cadre de l’obligation d’assurer, dès sa conception et par défaut, la sécurité du traitement de données tel qu’imposé par le RGPD (Privacy by design et by default), la Cnil préconise par ailleurs de placer le dispositif biométrique sous le contrôle exclusif de la personne concernée afin de lui en garantir la maîtrise, par exemple au moyen d’un support individuel en sa possession tel qu’un badge ou la mise en place d’un dispositif d’accès à ses données conditionné à sa seule intervention. L’ensemble de ces mesures doivent enfin être anticipées et envisagées avant toute mise en œuvre du traitement, dans le cadre de l’établissement d’une analyse d’impact précise permettant d’évaluer la nécessité du traitement et les risques inhérents au caractère sensible des données, et de les traiter. La Cnil met à ce titre à disposition des entreprises un logiciel open source PIA (Privacy Impact Assessment) voué à faciliter la conduite et la formation de telles analyses d’impact.

 

Ce qu’il faut retenir : L’ogre RGPD appréhende donc également la question des données biométriques et encadre aujourd’hui clairement la protection de ce type de traitement. Les enjeux de la biométrie n’en sont toutefois qu’à leur balbutiement et il apparaît évident que la règlementation sera amenée à évoluer rapidement, tout comme les techniques permettant de mettre en place une biométrie révocable, cryptée ou encore anonyme.