JURIDIQUE 
PAR Me OLIVIER ITEANU
Biométrie, une technologie sous surveillance ?
La biométrie est une technologie sans doute utile, notamment à l'authentification, mais son usage doit sans doute respecter un certain nombre de règles légales à ne pas oublier.  (09/02/2005)
 
Avocat à la cour
 
   Le site
Iteanu.com

La technologie biométrique est de plus en plus souvent évoquée comme technique d'authentification, c'est-à-dire comme usage d'un moyen technique, logiciel et/ou matériel, permettant d'identifier et d'authentifier une personne cherchant à accéder à un système d'information.

Il s'agit d'éviter qu'un intrus ne pénètre dans le système sans droits quel que soit son mobile, vol d'informations, sabotage ou même simple visite. L'authentification d'un utilisateur à l'entrée du système se fait habituellement selon au moins l'un des trois critères suivants :
Critère 1 : ce que sait l'utilisateur,
Critère 2 : ce que possède l'utilisateur,
Critère 3 : ce qu'est l'utilisateur.

Ce que sait le candidat à l'accès, c'est le plus souvent un identifiant (login) et un mot de passe (pin code) géré par un système autonome. Ce code lui a été confié par le maître du système. Si on se trouve dans une relation de travail, la notion de garde du code d'accès et de responsabilité à son égard, se trouve souvent incluse dans les chartes d'usage Internet des entreprises. Le code d'accès et le mot de passe peuvent se trouver à distance, c'est-à-dire résider sur le système lui-même, comme un code d'accès à un immeuble.

Selon le second critère, ce que possède un candidat, c'est la clef, la carte l'autorisant à pénétrer dans le système. Enfin, selon le critère n°3, ce qu'est l'utilisateur, c'est le recours à la technologie biométrique. Cette technologie fait appel aux caractéristiques physiques de ceux qui détiennent un droit d'accès, on parle alors de reconnaissance biométrique.

Le principe est simple : chacun est son propre authentificateur. De l'empreinte digitale, au contour de la main, à l'empreinte vocale en passant par l'empreinte rétinienne, toutes les reconnaissances physiques sont en théorie admissibles. On dit que la biométrie est la forme la plus ancienne d'authentification. Les animaux eux mêmes l'utiliseraient à leur façon.

On parle d'authentification forte lorsque deux des trois critères se combinent pour authentifier. Par exemple, les code et mot de passe se trouvent détenus par le porteur lui même, comme le code confidentiel d'une carte bancaire enregistré sur la puce de la carte elle-même et gérant l'accès aux terminaux de paiement.

 
"Au passif de cette technologie, la question de sa révocation"
 

Pour revenir à la biométrie, les experts techniques voient au passif de cette technologie, d'une part, son coût, d'autre part, la question de sa révocation. En effet, face à une personne qui a subtilisé un mot de passe ou une signature électronique, le titulaire du mot de passe ou de la signature peut facilement le remplacer ou le révoquer.

La chose semble plus complexe pour une empreinte digitale ou rétinienne. Si un tiers s'approprie une identité biométrique du type empreintes digitales ou identité visuelle, il peut au moyen de ces identités biométriques passer tout type d'actes au nom de la victime. Comment la victime pourrait elle alors révoquer sa propre empreinte digitale ou identité visuelle ? Les experts en sécurité sont partagés sur la question, même si, en majorité, ils semblent considérer que cette révocation est possible. Tous y reconnaissent cependant là une difficulté au passif de cette protection technique.

Mais on oublie souvent une troisième dimension à la biométrie, c'est son aspect légal. Cette technologie étant associée à un individu personne physique constitue une donnée à caractère personnel c'est-à-dire, selon la définition posée par la Loi n°2004-801 du 6 août 2004, une "information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres".

En cela, tout traitement portant sur la reconnaissance biométrique entre dans le champs d'investigation de la Commission Nationale de l'Informatique et des Libertés (CNIL). Dans deux délibérations rendues le même jour, le 8 avril 2004 (délibérations n°04-017 et 04-018), la CNIL a fixé quelques points de repères qui démontrent la vigilance dont elle fait preuve face à cette technologie.

 
"la reconnaissance biométrique entre dans le champs d'investigation de la CNIL"
 

Dans la première délibération, le centre hospitalier de Hyères envisageait de mettre en oeuvre un traitement personnel consistant à horodater les entrées et sorties de son personnel en s'appuyant sur un dispositif de reconnaissance de l'empreinte digitale. La CNIL a émis un avis défavorable à la mise en oeuvre de ce traitement.

Pour motiver cet avis négatif, la CNIL s'appuie deux types d'arguments. D'une part, elle critique la centralisation des données biométriques sur un serveur central y voyant là une solution qui "n'est pas de nature à garantir la personne concernée de toute utilisation détournée de ses données biométriques", d'autre part, elle se fonde sur une disposition insérée au Code du Travail selon laquelle "nul ne peut apporter aux droits des personnes et des libertés individuelles ou collectives des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnée au but recherché" (article L 120-2 du code du travail).

Elle considère dès lors que "seul un impératif de sécurité est susceptible de justifier la centralisation de données biométriques", y voyant au contraire dans la cas du centre hospitalier de Hyères un traitement disproportionné par rapport à la finalité recherchée, soit la gestion du temps de travail.

Dans la seconde délibération du même jour, la CNIL va en revanche donner un avis favorable à l'établissement public Aéroports de Paris pour un système de contrôle d'accès aux zones réservées de sûreté des aéroports d'Orly et de Roissy.

Logiquement et compte tenu de la première délibération évoquée dessus, la Commission retient ici que "seules sont enregistrées sur le badge le gabarit biométrique, le numéro du badge et le code PIN associé au badge" notant par là que les données biométriques résident avec la personne et que, au regard de la l'application concernée, "ces données sont adéquates, pertinentes et non excessives".

Ces deux délibérations ont été rendues sous l'empire de la loi ancienne de 1978 mais, quant aux règles de fond qu'elles posent, il n'y a aucune raison qu'elles ne soient pas prises en compte aujourd'hui. La biométrie est une technologie sans doute utile notamment à l'authentification, mais son usage doit sans doute respecter un certain nombre de règles légales à ne pas oublier.


Olivier Itéanu
 
 

Accueil | Haut de page

 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Voir un exemple

Toutes nos newsletters