La Cnil simplifie le recours à la biométrie sur les PC portables
Inscrivez-vous gratuitement à la Newsletter BFM Business
Christiane Féral-Schuhl, avocate à la Cour, associée fondatrice du cabinet Féral-Schuhl/Sainte-Marie, et bâtonnier désigné du Barreau de Paris
Le fait : le 10 mars, la Cnil a adopté une autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale et ayant pour finalité le contrôle de l'accès aux ordinateurs portables professionnels.Les ordinateurs portables dotés de lecteurs d'empreintes digitales sont de plus en plus présents dans les parcs informatiques des entreprises. En adoptant l'autorisation unique AU-027, la Commission nationale de l'informatique et des libertés (Cnil) aide à simplifier les formalités à accomplir. Si le dispositif biométrique est mis en œuvre conformément à ce texte, il suffira de le déclarer, sans avoir à remplir un dossier complet de demande d'autorisation.
Une utilisation réservée au contrôle d'accès
Seuls peuvent bénéficier de cette autorisation les dispositifs biométriques qui visent exclusivement à contrôler l'accès à des portables professionnels limitativement identifiés de l'entreprise. Surveiller le temps de travail de l'utilisateur, par exemple, ne doit pas être possible. En outre, la vérification est soumise à certaines caractéristiques techniques précises. Ainsi, elle s'effectue par comparaison entre le gabarit de l'empreinte digitale apposée sur le lecteur et celui initialement enregistré dans l'ordinateur de l'utilisateur.La Cnil fait preuve d'une grande prudence sur ce sujet. Elle fait ainsi une distinction entre les technologies biométriques dites sans traces et celles avec traces. Ces dernières permettant de récupérer l'élément identifiant à l'insu de la personne. Ainsi en est-il d'une empreinte digitale qui serait relevée sur un verre qu'un individu aurait tenu en main.
Le dispositif exclut les bases d'empreintes centralisées
Pour la Cnil, une telle technologie ne présente de garanties suffisantes que si le gabarit est conservé sur un support dont la personne garde la maîtrise, par opposition à une base de données centralisée. Selon l'AU-027, la Commission assimile ainsi l'ordinateur portable équipé d'un lecteur d'empreintes digitales à un support de stockage individuel, dès lors que celui-ci est “ sous le contrôle exclusif et personnel de l'utilisateur à qui il a été confié ”.
