Définir l’identification biométrique renvoie à des processus permettant de comparer les données des caractéristiques de la personne au modèle biométrique de cet individu afin de déterminer la ressemblance. Le but de l’utilisation de ces techniques est d’identifier une personne de manière sécurisée car les éléments biométriques d’une personne sont inaltérables, immuables et permanents. A la différence, les éléments extérieurs de sécurité comme un badge ou une carte, le corps d’une personne ne ment jamais.
La biométrie est un terme assez large qui détermine la science qui porte sur l’analyse des caractéristiques physiques ou comportementales propres à chaque personne pour permettre l’identification de son identité. Les mesures physiologiques comprennent les empreintes digitales, la forme de la main ou l’œil et les mesures comportementales comprennent la reconnaissance vocale ou encore la dynamique de signature.
L’efficacité de ces techniques est avérée, mais leur niveau d’efficacité n’est pas le même. Le fonctionnement d’une technique d’identification biométrique comprend une base de ces données afin de comparer une photo avec les données contenues dans là-bas. L’authentification permet de déterminer par la voie la ressemblance et pose la question « Êtes-vous bien Madame X » ?
La sécurité est l’une des préoccupations du secteur industriel et des entreprises, c’est pourquoi la biométrie gagne progressivement une place au sein des systèmes de sécurité au sein des entreprises. Concernant les clients et les salariés, la clé est dans le consentement de la personne qui doit accepter le traitement et la gestion de ses données sensibles par l’entreprise. Cependant, la CNIL (Commission Nationale de l’Informatique et des Libertés) estime qu’un salarié n’a pas cette liberté si son employeur a décidé d’installer un contrôle biométrique.
Juridiquement, l’utilisation de ces données par l’entreprise est encadrée par la loi informatique et libertés de 1978 et depuis mars 2019, un Règlement type a été élaboré par la CNIL afin de mettre en place un cadre juridique plus contraignant sur la collecte de ces données.
Le RGPD (Règlement général sur la protection des données) au sein de l’Union Européenne a qualifié les données biométriques de données sensibles, comme elle l’a fait pour les données de santé ou les convictions religieuses.
La caractérisation de donnée sensibles par le RGPD implique à l’organisme de traitement de ces données d’une plus grande sécurité et protection. Ainsi, les entreprises qui exploitent la biométrie doivent stockés les données biométriques de leurs clients et de leur salariés au sein d’un serveur sécurisé, indépendant des serveurs abritant les données personnelles, non sensibles. Après le traitement, la CNIL impose à ces entreprises de supprimer, après un délai déterminé préalablement, la suppression de ces données. Le grand danger de l’authentification biométrique est qu’il y a un risque de faille de cybersécurité important et c’est pourquoi un niveau de protection très important doit être mis en place au sein des entreprises qui utilisent ces technologies. De plus, le cadre juridique contraignant en construction ne doit pas s’affaiblir puisqu’il est évident que les techniques d’authentification biométrique immiscent dans nos foyers.
Anaïs Cathala
Master 2 Cyberjustice – Promotion 2018-2019