Biométrie : l’aval de la CNIL est une obligation!

Dans un communiqué en date du 5 janvier 2007, la commission nationale de l’informatique et des libertés (CNIL) rappelle que : « Tous les traitements comportant des données biométriques doivent faire l’objet d’une autorisation préalable de la CNIL. Aucun dispositif biométrique n’a fait l’objet d’un « label CNIL » ou d’un agrément a priori. »

Depuis un certain temps, des entreprises commercialisent des dispositifs de reconnaissance des empreintes digitales sous le « label »ou » l’agrément » de la CNIL. Seulement, il y a comme anguille sous roche et face à ces pratiques la CNIL rappelle aux responsables de traitement de données biométriques et aux éditeurs de solutions de reconnaissance biométrique qu’elle n’a à ce jour agréé ou labellisé aucun dispositif biométrique.

« Tout organisme qui souhaite installer un dispositif biométrique doit adresser par courrier à la CNIL une demande d’autorisation (remplir le formulaire de déclaration accompagné des annexes nécessaires.[lien vers annexe sécurité] et de tout élément justifiant la mise en place d’un dispositif biometrique) » peut-on lire sur le site de la commission.

D’une manière générale, la CNIL n’autorise que les dispositifs où l’empreinte digitale est enregistrée exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base centralisée.

Certains dispositifs bénéficient de formalités allégées

-Des dispositifs de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire.

-Des dispositifs reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail.

-Des dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail.

Si le traitement est conforme à l’une des décisions cadres (autorisations uniques), établies par la CNIL une simple déclaration de conformité suffit. Cette démarche peut être réalisée en ligne sur le site de la CNIL. Les personnes doivent toujours être individuellement informées des modalités de mis en ?uvre de ces dispositifs.

Enfin, la CNIL souligne que le responsable de traitement de données biométriques doit permettre aux personnes concernées par des informations qu’il détient d’exercer pleinement leurs droits. Cette information se fait lors de la mise en place du dispositif.