Le dispositif biométrique de reconnaissance du contour de la main : régime actuel
Publié le :
27/05/2014
27
mai
mai
05
2014
La technique biométrique de reconnaissance du contour de la main est commercialisée en France depuis plus de 20 ans. Il est donc un produit qui a largement fait ses preuves tant en termes de fiabilité technique que d’acceptation par les utilisateurs. Utilisé dans le monde entier pour des applications de contrôle des accès et de gestion du temps de présence, il est utilisé en France par le Musée du Louvre pour contrôler l’accès et les heures travaillées des entreprises extérieures sous-traitantes, ou encore par de nombreux établissements publics d’enseignement tels que les lycées et les collèges. Notamment, à titre d’exemple, 22 établissements scolaires du Rhône se sont équipés du système biométrique permettant d’accéder aux restaurants scolaires.
Plus pratique, plus sécurisé et conçu par une entreprise française, ce procédé séduit de plus en plus. Il comporte de nombreux avantages, tels que la disparition des difficultés posées par la perte, le vol ou le racket des cartes d’accès, la certitude de l’identité de la personne utilisatrice, la réalisation d’économies en comparaison au coût d’achat des cartes d’accès (au-delà d’un certain nombre d’utilisateurs), la démarche écologique.
Actuellement, les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes sont mis en œuvre après autorisation de la Commission nationale de l'informatique et des libertés (CNIL) (I de l’article 25 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).
Afin cependant de faciliter la tâche de la CNIL, les textes prévoient que les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission (II de l’article 25 de la loi précitée).
Par une délibération n°2006-101 du 27 avril 2006, la CNIL avait alors adopté une autorisation unique des traitements automatisés de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance du contour de la main, et ayant notamment pour finalité la gestion des horaires et des temps de présence des employés.
Ainsi, tout organisme qui souhaitait mettre en œuvre un dispositif biométrique de reconnaissance du contour de la main ayant pour finalité la gestion du temps de travail, était dispensé de demande d’autorisation, et devait effectuer une déclaration simplifiée.
Cependant, par une délibération n° 2012-322 du 20 septembre 2012, la CNIL revenait sur sa position et décidait d’abroger la délibération précitée, considérant que l’utilisation de la biométrie aux fins de contrôle des horaires, qui implique d’utiliser une partie de son corps, constitue un moyen disproportionné d’atteindre la finalité de gestion des horaires.
Estimant qu’il n’en est pas de même s’agissant des contrôles d’accès aux locaux et aux restaurants d’entreprise ou administratif, elle réitérait néanmoins l’autorisation unique s’agissant de ces finalités.
Ainsi, a priori, les organismes qui utilisent désormais un dispositif biométrique qui repose sur la reconnaissance du contour de la main, ayant pour finalité la gestion du temps de travail ne bénéficient plus de la procédure de déclaration simplifiée, et doivent effectuer une demande d’autorisation individuelle.
Néanmoins, la CNIL affirme également dans cette même délibération, en son article 10, que les organismes qui, s’ils respectaient les conditions de la délibération précédente, ne respectent plus celles fixées par la présente délibération, disposent d’un délai de 5 ans à compter de la publication de la délibération pour mettre en conformité leur traitement avec celle-ci.
L’on comprend bien qu’en réalité, la CNIL interdit désormais l’utilisation des dispositifs biométriques de reconnaissance du contour de la main ayant pour finalité la gestion du temps de travail.
Contrairement à l’article 9 de la délibération, qui laisse sous-entendre une autorisation individuelle envisageable, les organismes qui utilisent de tels dispositifs ayant pour finalité la gestion du temps de travail, verront nécessairement leurs demandes d’autorisations individuelles refusées…
Une analyse de la délibération conduit à s’interroger sur la légalité de cette délibération.
Notamment, il est surprenant de constater que la CNIL précise dans sa délibération que la décision a été prise sur avis des organisations syndicales et patronales, de la direction générale du travail ainsi que de certains professionnels du secteur alors qu’aucun avis n’a en réalité été sollicité. Cette circonstance est de nature à entacher la délibération d’une erreur de fait.
En outre, les dispositions de l’article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés exigent une proportionnalité entre le traitement des données et la finalité poursuivie. En d’autres termes, il faut une proportion entre les données recueillies, et non le dispositif de reconnaissance en lui-même, et l’objectif poursuivi.
En estimant qu’il devait y avoir une proportion entre le dispositif mis en œuvre et le but poursuivi, la CNIL a semble-t-il également commis une erreur de droit.
Enfin, ce dispositif remplace le système du badge qui comporte des inconvénients, telle que la perte ou détérioration possible du badge, ou encore la fraude.
Contrairement au système des empreintes digitales, il s’agit d’un dispositif biométrique « sans traces » qui ne prend en compte que la géométrie de la main. Les individus ne laissent pas leurs empreintes à leur insu sur l’objet qu’ils touchent.
L’utilisation du corps, soulignée par la CNIL, demeure donc très limitée.
Aucune photographie de la main des personnes n’est conservée.
Seul le gabarit du contour de la main est enregistré sur une base de données, et supprimé dès le départ de l’employé.
Seules peuvent être destinataires des données (temps de présence, identité, contour de la main…) les personnes gérant le personnel, la paie ou le traitement, ou encore celles gérant la sécurité des locaux.
Rappelons que le 27 avril 2006, la CNIL a autorisé la mise en place d’un tel système qu’elle estimait, à bon droit, proportionné au but poursuivi.
Aucun changement de circonstances de droit ou de fait ne justifie qu’elle décide aujourd’hui qu’un tel système, au demeurant inchangé, et dont aucune dérive n’a été constatée, n’est plus proportionné à la finalité poursuivie de gestion du temps de travail.
Il est d’ailleurs également surprenant de constater que la CNIL autorise l’utilisation de dispositifs de biométrie à traces, et qui entrainent bien plus l’utilisation du corps humain dès lors que les personnes concernées laissent dans cette hypothèse leurs empreintes sur l’objet qu’elles touchent.
Ainsi, en estimant qu’il existe une disproportion entre le recours au dispositif biométrique de reconnaissance du contour de la main et la finalité poursuivie de gestion du temps de travail, la CNIL a commis une erreur d’appréciation qui entache de nouveau d’illégalité sa décision.
*** Lire l'article suivant sur L’avenir du dispositif biométrique de reconnaissance du contour de la main *** Cet article n'engage que son auteur.
Crédit photo : © Miqul - Fotolia.com
Auteur
VERGER Julie
Historique
-
Opérateurs de plateformes numériques : quelles obligations d'information ?
Publié le : 09/10/2017 09 octobre oct. 10 2017Entreprises / Gestion de l'entreprise / Informatique et RéseauxUn décret du 29 septembre précise les obligations d'information des opérateurs de plateformes numériques. Le décret du 29 septembre détermine le contenu...
-
La signature électronique : quelles caractéristiques pour présumer de sa fiabilité?
Publié le : 02/10/2017 02 octobre oct. 10 2017Entreprises / Gestion de l'entreprise / Informatique et RéseauxUn décret du 28 septembre 2017 précise les caractéristiques techniques du procédé permettant de présumer la fiabilité de la signature électronique. L'or...
-
Adoption du nouveau bouclier de protection des données UE-États-Unis
Publié le : 13/07/2016 13 juillet juil. 07 2016Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa Commission européenne vient d'adopter la décision relative au bouclier de protection des données UE-États-Unis.En gestation depuis la fin du Safe Harbor e...
-
Un pack de conformité pour le secteur des assurances
Publié le : 18/11/2014 18 novembre nov. 11 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxLe 12 novembre 2014, la CNIL et l’ensemble des fédérations professionnelles concernées ont présenté le pack de conformité pour le secteur des assurances. Afi...
-
Rapport du CNNum sur la neutralité des plateformes
Publié le : 17/06/2014 17 juin juin 06 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxLe Conseil national du numérique (CNNum) a remis le 13 juin son rapport sur la neutralité des plateformes à Arnaud MONTEBOURG, Ministre de l’Economie, du Red...
-
L’avenir du dispositif biométrique de reconnaissance du contour de la main
Publié le : 28/05/2014 28 mai mai 05 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxAlors que l’utilisation des dispositifs biométriques est déjà sévèrement encadrée, une proposition de loi destinée à limiter l’utilisation de tels dispositif...
-
Le dispositif biométrique de reconnaissance du contour de la main : régime actuel
Publié le : 27/05/2014 27 mai mai 05 2014Entreprises / Gestion de l'entreprise / Informatique et RéseauxLa technique biométrique de reconnaissance du contour de la main est commercialisée en France depuis plus de 20 ans. Il est donc un produit qui a largement f...