L’usage de la biométrie en France

L’usage de la biométrie en France

La biométrie est l’une des trois méthodes d’authentification les plus courantes. Ces trois méthodes sont : la connaissance (un mot de passe, la réponse à une question secrète…), la possession (un téléphone portable, une clef token, une carte magnétique…) et la biométrie (empruntes digitales, reconnaissance faciale…).

L’utilisation de plusieurs méthodes différentes d’authentification est un protocole appelé “Authentification forte”.

La biométrie par rapport aux deux autres méthodes présente un avantage et un inconvénient qui lui sont propres. L’avantage est qu’il ne nécessite pas de l’utilisateur de compétence particulière : il doit uniquement être lui-même, ce qui ne demande pas d’effort particulier. L’inconvénient est qu’en cas de compromission, il n’est pas possible de modifier l’emprunte biométrique comme on changerait un mot de passe trop vieux ou comme on bloquerait un portable perdu ou volé.

Au quotidien, par rapport aux deux autres méthodes d’authentification, la biométrie est également la seule méthode qui ne requiert pas l’exactitude. Quand vous déverrouillez votre portable, vous pouvez avoir mis votre doigt un peu de travers, ou vous pouvez avec le doigt sale, ou un peu gras. Vous pouvez également avoir une petite blessure due à un oignon récalcitrant. Pour faciliter votre accès, le logiciel a une certaine tolérance. Il va ouvrir la porte si l’emprunte digitale correspond à plus de X% à l’original. Cela a donné lieu, notamment pour la reconnaissance faciale à des faux positifs : les jumeaux pouvaient déverrouiller le téléphone de leur frère ou de leur sœur. Pire, on pouvait déverrouiller un téléphone avec une simple photo.

Passons sur l’affaire malheureuse du pauvre retraité parti pécher dans le Lochness qu’on a pris pour un tueur en série : ce n’est pas la technologie qui est remise en cause, c’est l’incapacité des hommes à savoir l’utiliser, et le monde de l’immédiateté amplifié par les médias qui a créé cet épisode grotesque.

Malgré tout, beaucoup d’entreprises s’interrogent sur l’utilisation de la biométrie du fait de sa praticité. Mais en ont-elles le droit ?

Motif légitime

Cassons le suspens : l’utilisation de la biométrie ne sera pas possible si vous n’avez pas de motif légitime à l’utiliser. Le simple confort n’est pas un motif légitime. En effet, les données biométriques sont des données sensibles et donc le RGPD interdit tout traitement les concernant (article 9).

La CNIL, sur son site très bien fait que je vous invite à aller consulter si vous ne l’avez pas encore fait, donne un exemple parlant : oui pour limiter l’accès à une zone contenant des produits dangereux afin de s’assurer des personnes qui y rentrent, non pour le boulanger qui a la flemme d’emmener son badge !

Vous noterez que certains dispositifs sont allègrement estampillés “Conforme RGPD !!!”. C’est tout aussi impossible d’estampiller un matériel “conforme RGPD” que de dire que son utilisation sera conforme à ISO 9001. Peut-être le sera-t-elle mais cela dépend de son utilisateur, pas seulement de sa conception.

Comment se passe la mise en place ?

La CNIL va également plus loin : admettons que vous avez un motif légitime pour utiliser la biométrie, il vous faudra démontrer que le gabarit (les échantillons initiaux auxquels seront comparées les empruntes lors des tentatives de connexion) sont stockées sous maîtrise exclusive de la personne concernée, ou alors stocké dans une base chiffrée dont seule la personne concernée détient les clefs de chiffrement, et si aucune de ces deux possibilité n’est remplissable, stockée par l’employeur à qui il incombera d’assurer la protection des données.

Devra également s’ensuivre un PIA (étude d’impact ==> consultez votre consultant RGPD préféré), et une documentation appropriée.

Bien entendu, il vous faudra indiquer au personnes la façon dont sont stockées, protégées et quelles sont les finalités de l’usage de la biométrie. Elles doivent notamment pouvoir y renoncer contre un autre mode d’authentification moins intrusif (possession ou connaissance).

Le cas des téléphones portables

Je vous entends déjà venir me dire : « On a bien compris que la biométrie, c’est pas pour nous, parce que trop contraignant et on ne sait pas justifier de son utilité. Il n’empêche que j’ouvre mon téléphone portable 50 fois par jour avec mon empreinte digitale et que ça ne dérange personne ! »

Ce n’est pas que ça ne dérange personne, c’est que c’est un cas prévu par le RGPD.

Quand vous allumez votre téléphone portable pour la première fois, il vous demande si vous souhaitez utiliser la biométrie pour le déverrouiller. Vous avez aussi le choix d’utiliser un schéma ou un bon vieux code, et vous avez même le droit de changer d’avis en cours de route. Votre téléphone ne fonctionne pas moins bien si vous n’utilisez pas la biométrie.

Il y a donc un consentement et il est réversible.

Par ailleurs, votre empreinte digitale ou votre visage ne sont pas transmis sur un cloud mais sont stockés à l’intérieur de votre téléphone, dans un emplacement très sécurisé via des techniques de chiffrement avancées. Seul vous y avez accès. Si vous utilisez la biométrie pour débloquer une application de banque par exemple, l’appli en elle-même n’aura pas accès à votre gabarit. Elle va poser la question au téléphone « C’est bien lui ou elle ? » et le téléphone va répondre « oui » ou « non ».

Dès lors, le traitement biométrique, en principe interdit par le RGPD, rentre dans une case spécifique : celui des traitements domestiques. Vous êtes seul responsable de ce traitement qui est sous votre contrôle exclusif.

Or dans l’article 2 du RGPD, il est explicitement précisé que le RGPD n’est pas applicable aux traitements domestiques. C’est aussi pour ça que vous n’avez pas à appliquer le RGPD pour la gestion de vos contacts perso sur votre téléphone portable…

En résumé

La biométrie : c’est non par défaut.

Mais c’est possible : dans le cas où il y a un véritable intérêt, notamment de sécurité, pour son utilisation et il n’est pas possible d’utiliser un moyen d’authentification moins intrusif (une carte magnétique par exemple).

Si le traitement est domestique, pas de souci, mais faites tout même attention : si vos données biométriques sont corrompues, vous ne pourrez pas les modifier comme on modifie un mot de passe !

Base documentaire pour aller plus loin

Le site de la CNIL dans l’espace biométrie : https://www.cnil.fr/fr/biometrie

Laisser un commentaire

12 + 19 =