Que faut-il savoir de l’exploitation des données biométriques

Publié le 15 mai 2020 exploitation biometrique

Les données biométriques recensent les empreintes digitales, la reconnaissance faciale, l’iris de l’œil, le contour de la main, le réseau veineux des doigts, ou encore l’ADN, la voix, la paume, la signature ou la façon de marcher. Ces données sont utilisées dans le quotidien des individus pour le contrôle d’accès ou le verrouillage/déverrouillage du smartphone. Elles font parties des données à caractère personnel et sont soumises au RGPD. Faisons le point sur la protection de ces données personnelles et le respect des droits fondamentaux de chaque individu.

Le champ d’application de la collecte de données biométriques

Données biométriques à traces et sans traces

C’est une distinction de l’authentification biométrique faite par la CNIL. Les biométries à traces regroupent l’ADN ou les empreintes digitales. Elles présentent le plus de risques d’usurpation et de piratage car les traces subsistent. Les biométries sans traces, ne sont presque pas exploitables.

Il est important de préciser qu’il existe deux modes de stockage : le stockage des données sur supports individuels où la personne reste maître de ses données à caractère personnel, et la base de données centralisée gérée par un organisme tiers. L’utilisation de ces données nécessite un DPO qui soit s´assurer de la mise en conformité RGPD du traitement de ces données biométriques.

Mais étant donné qu’aujourd’hui, tout dispositif biométrique peut laisser des traces, la CNIL se veut de mettre en avant la distinction entre stockage individuel et stockage sur un serveur distant.

Le régime juridique de la technologie biométrique

L’étude des modalités de stockage et de la possibilité de maîtriser son gabarit géométrique est importante pour la protection de la vie privée, et pour attribuer un régime juridique au contrôle biométrique. Si l’on se réfère au smartphone par exemple, le gabarit biométrique peut être gardé dans l’appareil, afin que seule la personne concernée puisse en avoir accès. Mais il peut aussi être gardé dans un serveur distant en interaction avec le lecteur biométrique.

Les deux cas de figure qui peuvent se présenter

Si le dispositif biométrique fait partie intégrante du smartphone, et qu’il n’est pas accessible par une tierce entité, le dispositif d’identification biométrique peut entrer dans l’exemption biométrique de l’article 2 de la loi Informatique et libertés. Cet article se base sur le traitement des données personnelles automatisées et non automatisées sauf les traitements relatifs à l’exercice d’activités personnelles. Si le dispositif biométrique entre dans cette exemption, elle ne sera pas soumise à cette loi ni par l’approbation de la CNIL. Mais comment bénéficier de cette exemption ?

  • L’usage du dispositif biométrique doit être utilisé à titre privé pour déverrouiller le smartphone ou utiliser les applications ;
  • Un code d’accès doit être disponible outre l’analyse des empreintes ;
  • Seules doivent être mentionnées les mesures d’identification d’échec ou de réussite.

Si les technologies biométriques entrent en interaction avec les serveurs distants où sera gardé le gabarit biométrique, alors une autorisation de la CNIL, selon le règlement général RGPD est de mise afin d’établir ce dispositif. Il n’y a pas de mesure d’exemption possibles et les risques d’atteinte à la vie privée sont importants. De ce fait, le responsable de traitement de données à caractère personnel doit veiller grâce à un outil RGPD à la protection de ces données et à leur confidentialité.

Un risque accru d’un usage frauduleux des données sensibles ?

La sécurité biométrique est un enjeu de taille. Il faut savoir que même si le smartphone profite ou non d’une exemption domestique, et qu’il est autorisé par la CNIL, il y a tout de même des risques qui subsistent en ce qui concerne la divulgation des informations personnelles et le respect de la vie privée des usagers. Personne n’est à l’abri d’une usurpation ou d’un piratage de leurs données. Si le code d’accès est une option plus sécurisée pour préserver l’identité de la personne, les données biométriques ne peuvent pas l’être. Il est donc important pour l’utilisateur de bien faire attention à l’utilisation de ces données biométriques.