LE BLOG

Le dispositif biométrique de reconnaissance du contour de la main : régime actuel

Le dispositif biométrique de reconnaissance du contour de la main : régime actuel

Publié le : 27/05/2014 27 mai mai 05 2014
Entreprises / Gestion de l'entreprise / Informatique et Réseaux

La technique biométrique de reconnaissance du contour de la main est commercialisée en France depuis plus de 20 ans. Il est donc un produit qui a largement fait ses preuves tant en termes de fiabilité technique que d’acceptation par les utilisateurs. Utilisé dans le monde entier pour des applications de contrôle des accès et de gestion du temps de présence, il est utilisé en France par le Musée du Louvre pour contrôler l’accès et les heures travaillées des entreprises extérieures sous-traitantes, ou encore par de nombreux établissements publics d’enseignement tels que les lycées et les collèges. Notamment, à titre d’exemple, 22 établissements scolaires du Rhône se sont équipés du système biométrique permettant d’accéder aux restaurants scolaires.

Plus pratique, plus sécurisé et conçu par une entreprise française, ce procédé séduit de plus en plus. Il comporte de nombreux avantages, tels que la disparition des difficultés posées par la perte, le vol ou le racket des cartes d’accès, la certitude de l’identité de la personne utilisatrice, la réalisation d’économies en comparaison au coût d’achat des cartes d’accès (au-delà d’un certain nombre d’utilisateurs), la démarche écologique.

Actuellement, les traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes sont mis en œuvre après autorisation de la Commission nationale de l'informatique et des libertés (CNIL) (I de l’article 25 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).

Afin cependant de faciliter la tâche de la CNIL, les textes prévoient que les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission (II de l’article 25 de la loi précitée).

Par une délibération n°2006-101 du 27 avril 2006, la CNIL avait alors adopté une autorisation unique des traitements automatisés de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance du contour de la main, et ayant notamment pour finalité la gestion des horaires et des temps de présence des employés.

Ainsi, tout organisme qui souhaitait mettre en œuvre un dispositif biométrique de reconnaissance du contour de la main ayant pour finalité la gestion du temps de travail, était dispensé de demande d’autorisation, et devait effectuer une déclaration simplifiée.

Cependant, par une délibération n° 2012-322 du 20 septembre 2012, la CNIL revenait sur sa position et décidait d’abroger la délibération précitée, considérant que l’utilisation de la biométrie aux fins de contrôle des horaires, qui implique d’utiliser une partie de son corps, constitue un moyen disproportionné d’atteindre la finalité de gestion des horaires.

Estimant qu’il n’en est pas de même s’agissant des contrôles d’accès aux locaux et aux restaurants d’entreprise ou administratif, elle réitérait néanmoins l’autorisation unique s’agissant de ces finalités.

Ainsi, a priori, les organismes qui utilisent désormais un dispositif biométrique qui repose sur la reconnaissance du contour de la main, ayant pour finalité la gestion du temps de travail ne bénéficient plus de la procédure de déclaration simplifiée, et doivent effectuer une demande d’autorisation individuelle.

Néanmoins, la CNIL affirme également dans cette même délibération, en son article 10, que les organismes qui, s’ils respectaient les conditions de la délibération précédente, ne respectent plus celles fixées par la présente délibération, disposent d’un délai de 5 ans à compter de la publication de la délibération pour mettre en conformité leur traitement avec celle-ci.

L’on comprend bien qu’en réalité, la CNIL interdit désormais l’utilisation des dispositifs biométriques de reconnaissance du contour de la main ayant pour finalité la gestion du temps de travail.

Contrairement à l’article 9 de la délibération, qui laisse sous-entendre une autorisation individuelle envisageable, les organismes qui utilisent de tels dispositifs ayant pour finalité la gestion du temps de travail, verront nécessairement leurs demandes d’autorisations individuelles refusées…

Une analyse de la délibération conduit à s’interroger sur la légalité de cette délibération.

Notamment, il est surprenant de constater que la CNIL précise dans sa délibération que la décision a été prise sur avis des organisations syndicales et patronales, de la direction générale du travail ainsi que de certains professionnels du secteur alors qu’aucun avis n’a en réalité été sollicité. Cette circonstance est de nature à entacher la délibération d’une erreur de fait.

En outre, les dispositions de l’article 6 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés exigent une proportionnalité entre le traitement des données et la finalité poursuivie. En d’autres termes, il faut une proportion entre les données recueillies, et non le dispositif de reconnaissance en lui-même, et l’objectif poursuivi.

En estimant qu’il devait y avoir une proportion entre le dispositif mis en œuvre et le but poursuivi, la CNIL a semble-t-il également commis une erreur de droit.

Enfin, ce dispositif remplace le système du badge qui comporte des inconvénients, telle que la perte ou détérioration possible du badge, ou encore la fraude.

Contrairement au système des empreintes digitales, il s’agit d’un dispositif biométrique « sans traces » qui ne prend en compte que la géométrie de la main. Les individus ne laissent pas leurs empreintes à leur insu sur l’objet qu’ils touchent.

L’utilisation du corps, soulignée par la CNIL, demeure donc très limitée.
Aucune photographie de la main des personnes n’est conservée.
Seul le gabarit du contour de la main est enregistré sur une base de données, et supprimé dès le départ de l’employé.

Seules peuvent être destinataires des données (temps de présence, identité, contour de la main…) les personnes gérant le personnel, la paie ou le traitement, ou encore celles gérant la sécurité des locaux.

Rappelons que le 27 avril 2006, la CNIL a autorisé la mise en place d’un tel système qu’elle estimait, à bon droit, proportionné au but poursuivi.

Aucun changement de circonstances de droit ou de fait ne justifie qu’elle décide aujourd’hui qu’un tel système, au demeurant inchangé, et dont aucune dérive n’a été constatée, n’est plus proportionné à la finalité poursuivie de gestion du temps de travail.

Il est d’ailleurs également surprenant de constater que la CNIL autorise l’utilisation de dispositifs de biométrie à traces, et qui entrainent bien plus l’utilisation du corps humain dès lors que les personnes concernées laissent dans cette hypothèse leurs empreintes sur l’objet qu’elles touchent.

Ainsi, en estimant qu’il existe une disproportion entre le recours au dispositif biométrique de reconnaissance du contour de la main et la finalité poursuivie de gestion du temps de travail, la CNIL a commis une erreur d’appréciation qui entache de nouveau d’illégalité sa décision.


*** Lire l'article suivant sur L’avenir du dispositif biométrique de reconnaissance du contour de la main *** Cet article n'engage que son auteur.

Crédit photo : © Miqul - Fotolia.com
Partager sur
Publier cet article Partager sur LinkedIn Partager sur Facebook Envoyer par E-mail

Auteur

VERGER Julie

Historique

<< < 1 > >>
Navigateur non pris en charge

Le navigateur Internet Explorer que vous utilisez actuellement ne permet pas d'afficher ce site web correctement.

Nous vous conseillons de télécharger et d'utiliser un navigateur plus récent et sûr tel que Google Chrome, Microsoft Edge, Mozilla Firefox, ou Safari (pour Mac) par exemple.
OK