Le contrôle d'accès biométrique par réseaux veineux autorisé par la CNIL
Depuis la réforme de 2004 de la Loi Informatique et Libertés, la CNIL a la possibilité de dispenser de certaines procédures administratives légales en matière de fichiers nominatifs ou de les alléger. C'est ce qu'elle vient de faire au sujet des dispositifs d'accès à des locaux basés sur la reconnaissance biométrique des réseaux veineux des doigts. Normalement, les dispositifs biométriques sont soumis à autorisation préalable, et non pas à simple déclaration. Mais la CNIL vient de publier une autorisation unique concernant la « mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail ». Les entreprises mettant en oeuvre des dispositifs de ce type, en respectant les conditions de l'autorisation unique, ne doivent pas faire une demande préalable d'autorisation mais une simple déclaration du traitement avec engagement de conformité à l'autorisation unique. Comme les dispenses de déclaration, les autorisations uniques sont d'interprétation stricte. Tout écart par rapport à la description du dispositif réalisée par la CNIL fait basculer dans le régime normal, donc, ici, d'autorisation préalable. En terme de finalité, le dispositif est strictement réservé à l'accès à certains locaux de travail de personnes majeures dans des entreprises privées. Il ne doit en aucun cas être couplé à un contrôle des temps de travail ou lié à un contrôle général d'accès à l'entreprise. Techniquement, le dispositif ne doit pas stocker la trace du réseau veineux lui-même mais le résultat du traitement de cette trace par un algorithme conçu de telle sorte que la connaissance de ce résultat ne permette pas de retracer le réseau veineux original. Le stockage de données doit être réalisé dans la borne elle-même et pas dans un serveur distant du dispositif. Ces données doivent être détruites si la personne concernée quitte l'entreprise et le suivi des passages ne peut être conservé qu'au plus trois mois. L'autorisation unique ne prévoit pas l'usage de dispositifs biométriques pour l'accès au système d'information. Un tel usage suppose donc d'utiliser la procédure normale de l'autorisation préalable. Rappelons que la CNIL est extrêmement réticente quant à l'usage des empreintes digitales puisque celles-ci sont placées sur tous les objets touchés et permettent donc un traçage des moindres faits et gestes des individus. Au contraire, le réseau veineux des doigts ne laisse aucune trace sur l'environnement et son emploi est donc nettement moins invasif dans la vie privée.