B. LA BIOMÉTRIE SAISIE PAR LE DROIT
1. Une loi elliptique
Parce que la donnée biométrique est produite par le corps lui-même et le désigne ou le représente de façon immuable, que le détournement ou le mauvais usage de cette donnée pourrait avoir des conséquences particulièrement graves pour la protection de la personne concernée, le respect de son identité et de sa liberté , le législateur a souhaité accorder une protection particulière à cette catégorie de données à caractère personnel. À l'initiative de la CNIL, il a donc introduit, par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, une disposition visant à soumettre le traitement des données biométriques à un régime d'autorisation préalable .
En effet, alors même que la loi n° 2004-801 du 6 août 2004 précitée procédait à l'allègement des procédures préalables à la mise en place de la plupart des traitements de données à caractère personnel par l'introduction d'un régime de droit commun de déclaration préalable, le législateur a ici fait application de la faculté qui lui était offerte par l'article 20 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, de prévoir dans certains cas un contrôle a priori des traitements de données 3 ( * ) .
En matière de traitement de données biométriques, le législateur a ainsi distingué deux régimes d'autorisation :
- le premier soumet à autorisation préalable de la CNIL « les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes », conformément au 8° du I de l'article 25 de la loi n° 78-17 du 6 janvier 1978 précitée ;
- le second conditionne la mise en oeuvre pour le compte de l'État de traitements de données biométriques à une autorisation délivrée par décret en Conseil d'État pris après avis motivé et publié de la CNIL, en vertu du 2° du I de l'article 27 de la même loi 4 ( * ) .
Afin de faciliter la tâche de la CNIL dans le cadre de son activité d'autorisation préalable et lui permettre de faire face à des demandes massives, le législateur a toutefois prévu, au II de l'article 25, que « les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission. Dans ce cas, le responsable de chaque traitement adresse à la commission un engagement de conformité de celui-ci à la description figurant dans l'autorisation . » L'avis de la CNIL sur le projet de loi de 2004 envisageait d'y recourir largement « si la nécessité s'en faisait sentir », dans le cas de traitements de données biométriques. Tel est effectivement le fondement des cinq autorisations uniques adoptées par la CNIL en matière de traitement de données biométriques :
- l'autorisation unique n° AU-007, adoptée par la délibération n° 2006-101 du 27 avril 2006 et modifiée par la délibération n° 2012-322 du 20 septembre 2012 portant autorisation unique de mise en oeuvre de traitements reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la restauration sur les lieux de travail 5 ( * ) ;
- l'autorisation unique n° AU-008, adoptée par la délibération n° 2006-102 du 27 avril 2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail ;
- l'autorisation unique n° AU-009, adoptée par la délibération n° 2006-103 du 27 avril 2006 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire ;
- l'autorisation unique n° AU-019, adoptée par la délibération n° 2009-316 du 7 mai 2009 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail ;
- l'autorisation unique n° AU-027, adoptée par la délibération n° 2011-074 du 10 mars 2011 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale et ayant pour finalité le contrôle de l'accès aux postes informatiques portables professionnels.
En imposant un contrôle a priori de tout traitement de données biométriques, la France s'est ainsi dotée de l'un des régimes juridiques les plus protecteurs en la matière . Ce régime d'autorisation préalable fait d'ailleurs figure de quasi exception en Europe.
En 2004 cependant, le législateur ne s'est aucunement prononcé sur la pertinence des différents usages des techniques biométriques . Il s'est ainsi borné à confier à la CNIL la mission d'autoriser les traitements de données biométriques « nécessaires au contrôle de l'identité des personnes » en lui laissant toute latitude pour élaborer une doctrine.
2. Une doctrine de la CNIL en cours d'évolution
Comme pour toute demande d'autorisation d'un traitement de données à caractère personnel, l'examen par la CNIL d'une demande d'autorisation d'un traitement de données biométriques consiste en l'analyse de sa proportionnalité eu égard à la finalité envisagée, en application des 2° et 3° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 précitée qui disposent que les données collectées « sont adéquates, pertinentes et non excessives au regard des finalités [déterminés, explicites et légitimes] pour lesquelles elles sont collectées ». Est ainsi appréciée l'adéquation entre, d'une part, le dispositif proposé et les risques d'atteinte à la confidentialité des données (principe de sécurité) ainsi qu'au respect des droits et libertés des personnes concernées - avec, au premier chef, le droit à l'information préalable - et, d'autre part, la finalité déclarée.
Confrontée à un nombre de demandes d'autorisation croissant, la CNIL a peu à peu dégagé une grille d'analyse spécifique aux traitements de données biométriques.
a) Une doctrine initialement assise sur les spécificités des différents types de biométrie
De 2005 à 2012, la CNIL a procédé en distinguant les techniques biométriques utilisées selon qu'elles étaient :
- « à trace » , c'est-à-dire mettant en oeuvre des éléments laissant des traces susceptibles d'être capturées à l'insu de la personne pour l'identifier ou être utilisées pour usurper son identité, telles les empreintes génétiques ou digitales ;
- ou « sans trace » - contour de la main, reconnaissance vocale, réseau veineux du doigt ou de la paume de la paume, iris de l'oeil, reconnaissance faciale, biométrie comportementale.
Le recours aux techniques biométriques « à trace » était donc plus strictement limité et encadré .
À titre d'illustration, dix ans après s'être prononcée pour la première fois sur un dispositif reposant sur la reconnaissance des empreintes digitales, la CNIL a formalisé ses critères d'autorisation par une « communication relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », en date du 28 décembre 2007. Du fait de la spécificité des empreintes digitales, le stockage sur support individuel permettant à la personne concernée de conserver la maîtrise de sa donnée biométrique était privilégié. Le stockage sur un terminal de lecture-comparaison ou sur un serveur comportant davantage de risque, il n'était autorisé qu'à la condition, en particulier, que la finalité du dispositif soit « limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme et ayant trait à la protection de l'intégrité physique des personnes ou à celle des biens et des installations ou à celles de certaines informations ». Par « zone bien délimitée », la CNIL indiquait entendre aussi bien des locaux que du matériel ou une application informatique par exemple.
À partir de 2013, la CNIL a pris conscience de la faiblesse de cette summa divisio , des techniques précédemment considérées comme « sans trace » donc moins intrusives basculant dans le champ des techniques « à trace ». Ainsi par exemple de la reconnaissance faciale du fait de la convergence des développements technologiques et de la multiplication des dispositifs de vidéosurveillance.
b) Le retour aux fondamentaux de la loi : une nouvelle doctrine en cours d'élaboration basée sur les finalités des traitements
De ce constat est née une réflexion sur la méthodologie d'instruction des demandes d'autorisation de dispositifs biométriques qui, après consultation de représentants de la société civile, de la communauté scientifique et de l'industrie, a débouché sur une nouvelle typologie que la CNIL a commencé de tester au cours des derniers mois.
|
La perception par les Français de la biométrie au quotidien Dans le cadre de sa réflexion sur la biométrie, la CNIL s'est associée au Centre de recherche pour l'étude et l'observation des conditions de vie (CREDOC) pour mener une étude sur les attitudes de la population française face aux enjeux et questions que pose le développement des technologies biométriques. Selon la note de synthèse, cette étude « met en évidence qu'aujourd'hui, la population consent à un usage de la biométrie dans des cas très précis (fichier de police, carte d'identité) conjuguant la présence d'un cadre institutionnel et des fins sécuritaires. L'utilisation de données biométriques comme moyen de paiement, pour s'identifier dans un cadre professionnel ou de loisirs suscite de grandes réticences. Les Français étant particulièrement soucieux de pouvoir choisir d'accepter ou de refuser, au cas par cas, l'usage de ces techniques dans leur vie quotidienne ». Cette étude souligne que « nos concitoyens sont en effet particulièrement préoccupés par rapport au détournement potentiel de leurs données personnelles par des entreprises . » De là l'importance accordée au consentement. Source : Sandra Hoibian, Les Français se montrent réservés sur l'usage de la biométrie dans la vie quotidienne , CREDOC, Collection des rapports, mai 2013. |
Trois cas seraient désormais envisagés par la CNIL selon la finalité du dispositif proposé :
• Cas n° 1 : la « biométrie de sécurité »
Dans cette hypothèse, la mise en oeuvre d'un dispositif biométrique apparaît comme indispensable pour répondre à une contrainte de sécurité physique ou logique d'un organisme. Cela entraîne pour conséquence que l'utilisation du dispositif biométrique sera exclusive, seul un dispositif de secours exceptionnel le doublant afin d'assurer la continuité du service. Il en découle une absence de choix des utilisateurs qui devront cependant être dûment informés des conditions d'utilisation du dispositif par une note d'information précisant la finalité du traitement, la stricte nécessité de l'usage de la biométrie, l'absence de dispositif alternatif et le numéro de l'autorisation délivrée par la CNIL.
La finalité de sécurité doit dans ce cas être démontrée par une analyse des risques remise à la CNIL. Une étude d'impact sur la vie privée doit permettre, par ailleurs, de déterminer les mesures à mettre en oeuvre pour faire face aux nouveaux risques d'atteinte à la vie privée des personnes concernées, nés de la mise en oeuvre du dispositif biométrique.
• Cas n° 2 : la « biométrie de service », mettant en exergue le libre consentement de l'usager
Dans cette deuxième hypothèse, la finalité du dispositif envisagé est double, à la fois de sécurité pour un contrôle de l'accès à un site physique ou à une application logique ou un équipement, et d'ergonomie d'utilisation - l'impératif de sécurité n'étant pas ici strict, une analyse de risque ne sera pas exigée. Dès lors, un dispositif alternatif au dispositif biométrique doit nécessairement être proposé aux utilisateurs sans contrainte ni surcoût. L'information de l'utilisateur doit être écrite, individuelle, préalable et spécifique au dispositif mis en oeuvre. La signature par l'utilisateur de la note d'information permet de s'assurer de son consentement exprès. Enfin, le stockage des données biométriques est sécurisé.
Synthèse des critères applicables
aux
biométries « de sécurité » et
« de service »
|
Biométrie de sécurité |
Biométrie de service |
|
Confidentialité des données garantie par une analyse de risques obligatoire |
Confidentialité des données garantie par un stockage soumis à des exigences techniques et organisationnelles minimales |
|
Absence de dispositif alternatif |
Dispositif alternatif obligatoire |
|
Absence de consentement |
Nécessité d'un consentement |
|
Information des personnes sur l'objectif de sécurité (démontré par une analyse de risques) et l'absence de dispositif alternatif |
Information renforcée des personnes : • sur l'existence d'un dispositif alternatif • sur la possibilité de choisir librement le dispositif biométrique ou un autre |
Source : CNIL
• Cas n° 3 : les expérimentations
Par expérimentation, la CNIL entend les travaux de recherche fondamentale menés par des laboratoires ou centres de recherche, les expérimentations de recherche et développement conduites par des consortiums publics et/ou privés ou encore tout test opérationnel préalable à la généralisation d'un dispositif réalisé par une entreprise. Ces expérimentations servent en particulier à vérifier la fiabilité technique des dispositifs, mais aussi à identifier les risques et impacts relatifs à la vie privée. L'autorisation est soumise au respect de cinq critères :
- justifier d'un apport significatif en termes de connaissances ;
- limiter la durée de l'expérimentation ;
- présenter un bilan de l'expérimentation à la CNIL ;
- recueillir le consentement exprès et préalable des personnes participant à l'expérimentation ou, au contraire, démontrer l'impossibilité de le recueillir ;
- garantir la sécurité des données.
La définition de ce troisième cas a de fait permis la formalisation des autorisations précédemment délivrées par la CNIL dans le cadre d'expérimentations. Désormais, les décisions de la CNIL comportent la durée de l'expérimentation, par défaut établie à un an sauf spécificités (au lieu de durées oscillant entre 6 mois et 3 ans précédemment). Elles précisent ce que devra comporter le bilan de l'expérimentation. Les services de la CNIL doivent recevoir le bilan de l'expérimentation au plus tard deux mois après la fin de celle-ci - un tableau de suivi permettant de relancer le responsable de traitement en cas d'omission. Les services analysent ces bilans au regard de l'autorisation initiale. À l'issue de l'expérimentation, toute pérennisation d'un dispositif doit faire l'objet d'une nouvelle autorisation conformément au 1° de l'article 6 de la loi n° 78-17 du 6 janvier 1978 précitée imposant le caractère loyal de la collecte et du traitement des données.
Dans tous les cas envisagés, le respect du principe de proportionnalité reste au coeur de l'examen mené par la CNIL pour délivrer ou non une autorisation.
Si la CNIL tente ainsi d'adapter ses exigences aux finalités envisagées pour un traitement de données biométriques, elle ne s'autorise pas à juger de la pertinence de ces finalités .
* 3 « 1. Les États membres précisent les traitements susceptibles de présenter des risques particuliers au regard des droits et libertés des personnes concernées et veillent à ce que ces traitements soient examinés avant leur mise en oeuvre . »
* 4 Il convient de noter que si le 8° du I de l'article 25 mentionne « les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes » tandis que le 2° du I de l'article 27 encadre « les traitements de données à caractère personnel mis en oeuvre pour le compte de l'État qui portent sur des données biométriques nécessaires à l'authentification ou au contrôle de l'identité des personnes », la CNIL n'a pas jugé souhaitable de tenir compte de cette différence de rédaction qui aurait pu conduire à une méthodologie d'analyse différente selon que le dispositif était ou non opéré pour le compte de l'État.
* 5 La modification de l'autorisation a consisté en la suppression de la finalité de contrôle des horaires des salariés jugée disproportionnée à la suite d'une consultation des organisations syndicales et patronales, de la Direction générale du travail et de professionnels du secteur.