Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique





















Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Anne-Sohie Poggi, Avocat Associé, cabinet Derriennic Associés : Biométrie : une autorisation unique pour les ordinateurs portables professionnels intégrant des lecteurs d’empreintes digitales

septembre 2011 par Anne-Sohie Poggi, Avocat Associé, cabinet Derriennic Associés

La CNIL a adopté le 10 mars 2011 une autorisation unique (AU 27) concernant les dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale pour le contrôle de l’accès aux ordinateurs portables professionnels.

Anne-Sohie Poggi, Avocat Associé, cabinet Derriennic Associés

La Commission a considéré que de tels dispositifs pouvaient être assimilés à des supports individuels puisque les ordinateurs portables doivent être sous le contrôle exclusif et personnel de l’utilisateur à qui il a été confié.

Dans sa délibération, la CNIL rappelle aux organismes qui utilisent les empreintes digitales dans un tel cadre leurs obligations déclaratives. Si leur dispositif est conforme à la nouvelle autorisation unique, ils doivent effectuer un engagement de conformité sur le site de la CNIL.

Le dispositif de reconnaissance des empreintes digitales doit, selon la CNIL, présenter les caractéristiques suivantes (une ou plusieurs empreintes digitales peuvent être utilisées) :

• seul le gabarit de l’empreinte digitale, clé biométrique résultat du traitement des mesures par un algorithme, est enregistré sur le poste informatique portable et non une image ou une photographie de l’empreinte digitale ;
• le gabarit de l’empreinte digitale sera stocké chiffré par l’intermédiaire d’un algorithme cryptographique réputé fort ;
• le gabarit traité ne doit pas permettre de recalculer l’image correspondante à l’empreinte ;
• le gabarit de l’empreinte digitale de la personne concernée est exclusivement enregistré sur le poste informatique portable détenu par elle seule et dont le contenu ne peut être lu à son insu ;
• l’enrôlement ne peut être effectué que sur le poste informatique portable de l’utilisateur, si besoin avec l’aide des personnes habilitées du service en charge de la sécurité informatique ;
• le contrôle d’accès s’effectue par une comparaison entre le gabarit de l’empreinte digitale du doigt apposé sur le lecteur et le gabarit de l’empreinte digitale enregistré lors de l’enrôlement de l’utilisateur sur le poste informatique portable ;
• à aucun moment, le gabarit de l’empreinte digitale ne circulera sur un réseau ;
• lors d’opérations de maintenance du poste informatique portable, les données biométriques sont systématiquement effacées et la procédure d’enrôlement doit être réitérée ;
• une solution alternative d’authentification tel qu’un identifiant et un mot de passe doit pouvoir être paramétrée sur le poste informatique portable. En cas d’utilisation d’un mot de passe, celui-ci doit être d’une longueur d’au moins 8 caractères alphanumériques et comporter au moins un chiffre, une lettre et un caractère de ponctuation.

Les données enregistrées sont limitativement énumérées par l’autorisation unique. Les destinataires de ces données sont les personnes habilitées du service en charge de la sécurité informatique.

Les durées de conservation ne peuvent excéder 5 ans après le départ de l’utilisateur pour l’identifiant et le mot de passe, tandis que la conservation du gabarit de l’empreinte digitale ne peut excéder le temps pendant lequel l’utilisateur est habilité à accéder à son poste informatique portable.
Enfin, les représentants du personnel doivent être consultés préalablement à la mise en œuvre de tels dispositifs. Les utilisateurs doivent être individuellement informés par la diffusion d’une note explicative.

N.B. : l’AU 27 ne concerne pas les traitements :

• mis en œuvre pour le compte de l’Etat ;
• dont les utilisateurs sont des mineurs ;
• permettant d’autres finalités que le contrôle d’accès à l’ordinateur portable (ex : contrôle des horaires) ;
• utilisant des lecteurs d’empreintes non intégrés à l’ordinateur portable.

Dans ces hypothèses, les responsables des traitements doivent déposer à la CNIL une demande d’autorisation spécifique.

Ainsi, le fait que se développe sur le marché des ordinateurs portables des systèmes de reconnaissance biométrique intégrés dans des supports individuels va dans le sens de la protection des données puisque le titulaire en garde la maîtrise. Si les employeurs peuvent mettre à la disposition de leurs salariés un ordinateur avec contrôle biométrique, par exemple un cadre qui utilise des données sensibles, en revanche le système de reconnaissance de l’utilisateur demeure dans l’ordinateur, de sorte qu’il n’y a pas constitution d’une base centrale par l’entreprise. La CNIL a donc considéré, dans son analyse, que le dispositif dans les ordinateurs pouvait être assimilé à des supports individuels, car les ordinateurs sont sous le contrôle individuel et exclusif des utilisateurs à qui ils ont été confiés. Dans ces conditions, il y a bien une maîtrise par l’utilisateur et il n’y a pas constitution d’une base centrale et diffusion des données biométriques avec le risque d’usurpation que cela implique. C’est à cette condition que la Commission l’a autorisé.


Anne-Sophie Poggi. a fondé, avec Jean-Noël Derriennic, la SCP Derriennic Associés en 1994. Avocat depuis 1992, elle s’est spécialisée, après un DEA de Droit Processuel de l’Université Paris II Panthéon-Assas, dans les procédures contentieu-ses et les expertises judiciaires dans le domaine des technologies de l’information. Anne-Sophie intervient également dans la conception et la négociation de contrats informatiques, internet et multimédia régis par le droit privé et le droit public. Elle est l’auteur de nombreux articles parus dans diverses publications spécialisées.




Voir les articles précédents

    

Voir les articles suivants