Allez au contenu, Allez à la navigation

Proposition de loi visant à limiter l'usage des techniques biométriques

16 avril 2014 : Techniques biométriques ( rapport - première lecture )

C. LA BANALISATION DE L'USAGE DES TECHNIQUES BIOMÉTRIQUES

Dès son rapport d'activité pour 2005, la CNIL constatait une « réelle banalisation de la biométrie ». Le nombre des demandes d'autorisation présentées à la CNIL par la suite n'a pas démenti ce constat, loin de là.

Évolution des demandes d'autorisation
de mise en oeuvre de dispositifs biométriques depuis 2004

Source : commission des lois à partir des données fournies par la CNIL

Votre rapporteur observe ainsi une augmentation massive des demandes d'autorisation à partir de 2006, avec un pic en 2009, mais un recul notable en 2013, peut-être dû aux incertitudes nées de l'annonce par la CNIL d'une révision de sa doctrine. Il note également le rôle majeur des engagements de conformité à des autorisations uniques (AU) qui ne donnent pas lieu à examen a priori par la CNIL, seulement à des contrôles a posteriori, et sont donc tous autorisés : ils représentent en effet plus de 90 % des demandes d'autorisation. Les demandes d'autorisation spécifiques, au nombre de 443 au total, représentent donc moins de 10 % des demandes ; elles ont un taux d'acceptation de près de 77 %, soit un taux de rejet d'environ 23 %.

Statistiques sur les demandes d'autorisation présentées à la CNIL
de 2004 au 10 mars 2014

 

Demandes d'autorisation

Autorisations délivrées

Refus

Année

Nb de demandes entrant dans le champ d'une autorisation unique

Nb total de demandes

Nb d'autorisations « spécifiques »

Nb d'autorisations via un engagement de conformité' à une AU

Nb total d'autorisations délivrées

Nb de refus

2004

1

1

0

1

1

0

2005

8

45

30

8

38

5

2006

258

326

59

258

317

9

2007

399

465

45

399

444

21

2008

550

630

61

550

611

19

2009

676

747

68

676

744

3

2010

555

581

22

555

577

4

2011

595

631

28

595

623

8

2012

626

648

22

626

648

0

2013

357

385

5

357

362

12

2014

13

22

0

13

13

0

TOTAL

4038

4481

340

4038

4378

816(*)

Source : commission des lois à partir des données fournies par la CNIL

La banalisation est également celle des usages qui, tout comme les techniques, ont connu une grande diversification. L'étude des principales délibérations prises par la CNIL au cours de ces années permet de relever certains de ces nouveaux usages :

- le contrôle d'accès physique à des locaux : autrefois réservé à l'accès à des locaux sensibles, il est désormais étendu à des cantines scolaires7(*), des locaux de loisirs - salle de sport8(*) ou cercle de jeux9(*) -, ainsi que, par exemple, à des salles d'examen afin d'empêcher la substitution de candidat10(*) ;

- le contrôle d'accès logique à des services11(*) ou des applications12(*) ;

- la signature de documents électroniques13(*) ;

- la gestion de mots de passe14(*) ;

- le contrôle de la présence de travailleurs handicapés15(*) ;

- le contrôle d'accès à un équipement bureautique16(*) ;

- la gestion d'une carte de fidélité17(*) ;

- le contrôle de l'identité des patients pris en charge en radiothérapie18(*) ;

- l'accès à un dossier médical partagé19(*).

Les organismes bancaires s'intéressent également à la biométrie afin de sécuriser les transactions financières, notamment les paiements en ligne ou sans contact, ou l'accès à des coffres forts numériques. Au cours des derniers mois, plusieurs expérimentations ont été autorisées par la CNIL dans ce secteur.

Ce bref aperçu non exhaustif permet de constater combien la biométrie pénètre peu à peu tous les domaines de la vie quotidienne, de l'école à l'entreprise, de la santé à la banque.


* 6 Ce chiffre correspond au nombre de refus délibérés en séance et notifiés : il ne compte pas les dossiers soumis à la CNIL puis « abandonnés » par les déclarants.

* 7 Cf. l'autorisation unique n° AU-009, adoptée par la délibération n° 2006-103 du 27 avril 2006.

* 8 Cf. la délibération n° 2009-311 du 7 mai 2009 (Centre de culture physique d'Aquitaine -reconnaissance du contour de la main).

* 9 Cf. la délibération n° 2010-469 du 16 décembre 2010 (CERCLE WAGRAM - reconnaissance du visage en trois dimensions exclusivement enregistrée sur un support individuel détenu par la personne concernée).

* 10 Cf. la délibération n° 2009-360 du 18 juin 2009 (Graduate Management Admission Council (GMAC) représenté par Pearson Education France - reconnaissance du réseau veineux de la paume de la main).

* 11 Par exemple, la délibération n° 2005-206 du 22 septembre 2005 (société Bloomberg L.P -reconnaissance de l'empreinte digitale - contrôle de l'accès logique à un service d'informations financières).

* 12 Exemple de la délibération n° 2011-325 du 13 octobre 2011 (société FACEO SECURITE PREVENTION - reconnaissance des empreintes digitales - accès à une application de main courante électronique d'un poste de sécurité).

* 13 Première autorisation : délibération n° 2006-232 du 17 octobre 2006 (société l'Oréal SA -reconnaissance des empreintes digitales).

* 14 Exemple de la délibération n° 2007-248 du 13 septembre 2007 (manufacture française de pneumatique Michelin - reconnaissance vocale).

* 15 Cf. la délibération n° 2008-038 du 7 février 2008 (Centre d'Aide au Travail - « le Vert Coteau » de Thionville - reconnaissance du réseau veineux).

* 16 Cf. la délibération n° 2010-085 du 25 mars 2010 (société Apave Parisienne - reconnaissance du réseau veineux des doigts - contrôle d'accès à des appareils de reprographie multifonctions).

* 17 Une seule autorisation délivrée à ce jour par la délibération n° 2005-115 du 7 juin 2005 portant autorisation de la mise en oeuvre par la Chambre de commerce et d'industrie de Nice-Côte d'Azur d'un traitement automatisé de données à caractère personnel ayant pour finalité la gestion d'une carte de fidélité impliquant l'utilisation d'un dispositif biométrique de reconnaissance des empreintes digitales.

* 18 La délibération n° 2012-236 du 12 juillet 2012 autorisant le Centre Oscar Lambret à mettre en oeuvre, à titre expérimental, un traitement automatisé de données à caractère personnel utilisant un nouveau dispositif biométrique de contrôle de l'identité des patients pris en charge en radiothérapie fait suite à une première délibération (n° 2010-033 du 11 février 2010).

* 19 Par exemple, la délibération n° 2012-445 du 6 décembre 2012 (établissement public de santé Maison Blanche, réseau santé mentale précarité - reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel sous le contrôle exclusif de son détenteur).