Biométrie banie
Sep 28th, 2007 by Eric
Depuis 2006, tous les traitements comportant des données biométriques doivent faire l’objet d’une autorisation préalable de la CNIL. D’une manière générale, la CNIL n’autorise plus que les dispositifs où l’empreinte digitale est enregistrée sur un support individuel (carte à puce, clé USB), et non dans une base centralisée (il existe des tolérances, par exemple pour les cantines scolaires). Le non-accomplissement des formalités auprès de la CNIL et le non respect de ces dispositions est passible de 5 ans d’emprisonnement et 300 000 € d’amende.
Cette décision, et sa mise en application, a évidemment pour avantage de protéger au mieux les individus tout en augmentant la fiabilité du système. Il ne sera plus possible, comme on le voit dans Mission impossible, de couper le doigt d’une personne pour pirater un système biométrique; il faudra aussi lui piquer sa clé USB ! Mais je digresse…
En attendant, on voit progressivement les anciens systèmes se faire démonter et on entend dire ici et là que les entreprises sont désormais moins intéressées par les systèmes biométriques si ces derniers ne peuvent plus être reliés à des bases de données nominatives. En clair, si on ne peut plus contrôler les entrées sorties, la circulation dans l’entreprise, et les horaires des collaborateurs avec un lecteur d’empreintes digitales, c’est moins intéressant.
On sait que la Commission n’a pas autorisé, en 2006, un hôtel à mettre en œuvre des dispositifs de contrôle d’accès reposant sur le traitement, dans une base de données, des empreintes digitales. Le dispositif présenté par l’hôtel avait pour objet de contrôler l’accès aux chambres. Les clients de cet hôtel de luxe parisien devaient faire enregistrer leurs empreintes digitales pour pouvoir ensuite accéder à leur chambre. Mais les employés aussi… On voit tout de suite l’usage qui pouvait être fait de ce système en terme de contrôle du travail.
L’idée de faire stocker les données numériques sur une clé USB (ce qui pourrait d’ailleurs être aussi valable à terme pour les données médicales ) permet donc théoriquement un développement raisonné d’une biométrie qui préserverait les libertés et ne servirait pas à “fliquer”.
Les anciens systèmes biométriques autonomes (c’est à dire qui ne sont reliés à aucune forme de réseau numérique) et qui stockaient des informations (les empreintes, le contour de la main, un mot de passe vocal) non nominatives, sans archiver les identifications offraient quasiment le même degré de confidentialité. Il est dommage que ces systèmes fassent aussi les frais de ce nouveau mode d’application du droit.
L’une des conséquences de cette restriction est qu’aujourd’hui, demander à un étudiant de travailler sur un système de reconnaissance biométrique devient quasiment impossible puisqu’il n’a plus le droit, comme par le passé, de conserver les données sur lesquelles il travaille, y compris si ces données sont strictement anonymes.
C’est désormais la CNIL qui autorise ou non les projets de recherche (comme ici) ce qui est peut être un peu … excessif. La question reste aussi posée sur le devenir de certains documents “biométriques” tels que les passeports, les cartes d’identitée qui font appel à des données physiques stockées à distance. Sur ces points, la CNIL semble muette.