La CNIL a défini la biométrie comme « l’ensemble des procédés tendant à identifier un individu à partir de la mesure de l’une ou de plusieurs de ses caractéristiques physiques, physiologiques ou comportementales ». Ces données biométriques recouvrent par exemple les empreintes digitales, l’iris de l’œil, le contour de la main, le réseau veineux des doigts, l’ADN, la voix, la forme du visage, ou bien des éléments comportementaux tels que la signature ou la démarche.
Ces données produites par le corps des individus font l’objet d’utilisations de plus en plus courantes dans de nombreux dispositifs par exemple pour le contrôle d’accès à un lieu de travail. Mais, ces données sont aussi traitées dans des dispositifs qui marquent de façon plus significative le quotidien des individus. En effet, de plus en plus de smartphones intègrent des dispositifs de reconnaissance d’empreintes digitales voire de reconnaissance des contours du visage grâce à une caméra frontale.
Ces dispositifs biométriques dans les smartphones peuvent servir à authentifier l’utilisateur afin de déverrouiller le smartphone, mais ils peuvent aussi être utilisés pour certaines applications ou services en ligne afin d’authentifier l’utilisateur avant une transaction.
Cependant, si ces dispositifs peuvent paraître très attrayants, ils peuvent présenter des risques pour la protection des données de l’utilisateur. C’est ce qui justifie qu’ils fassent l’objet d’une appréhension nuancée par la CNIL, qui leur applique un régime en apparence complexe. En effet, ce régime a pu varier dans le temps et, avec lui, les critères de distinction attachés aux systèmes biométriques. Il s’agira donc de déterminer lequel de ces critères est actuellement retenu par la CNIL avant d’expliquer le régime juridique applicable aux différents dispositifs biométriques.
Traditionnellement, la CNIL distinguait les biométries à traces et les biométries sans traces. Les biométries à traces, comme les empreintes digitales et l’ADN, présentent plus de risques puisque ces traces laissées par les personnes peuvent être exploitables et capturées à l’insu des personnes concernées. Il serait donc possible qu’une personne soit identifiée à son insu ou bien que son identité soit usurpée par un tiers. Quant aux biométries sans traces, comme le contour de la main ou le réseau veineux des doigts, la CNIL considérait qu’elles présentaient moins de risques pour les personnes car ces biométries ne laissaient pas de traces exploitables par rapport à l’état de la technologie. La CNIL combinait alors cette distinction avec une autre distinction qui se fondait sur les modalités de stockage des données biométriques. Elle faisait alors apparaître deux types de stockage, les systèmes de stockage sur support individuels, avec lesquels la personne concernée conservait la maîtrise de ses données biométriques, et les bases de données centralisées, maîtrisées par des organismes tiers, dans lesquelles la personne n’a plus la maîtrise de son gabarit biométrique. Lorsqu’il s’agissait de données biométriques à traces, stockées sur un serveur distant, la CNIL se montrait plutôt réservée. En revanche elle semblait moins réticente pour les données biométriques à traces stockées sur un support individuel ou pour les données biométriques sans traces stockées dans des bases de données centralisées.
La CNIL a abandonné la distinction entre biométrie à traces et sans traces pour ne conserver que la distinction entre stockage individuel et stockage sur un serveur distant. C’est ce qui ressort des autorisations uniques sur les dispositifs biométriques de contrôle d’accès aux lieux de travail, AU-52 avec maîtrise de la personne sur son gabarit, et AU-53 avec conservation des gabarits biométrique en base. La distinction alors opérée par la CNIL concerne les seules modalités de stockage. Elle abroge les autorisations uniques précédentes qui distinguaient entre biométries à traces (AU-008 et AU-027 concernant le contrôle d’accès par empreintes digitales sur le lieu de travail et sur les ordinateurs portables professionnels) et sans traces (AU-007 sur le contrôle du contour de la main sur le lieu de travail, AU-019 sur le contrôle du réseau veineux de la main sur le lieu de travail). En effet, du fait de l’évolution de la technologie, toutes les biométries peuvent produire des traces, cette distinction ne paraissait donc plus opportune.
La CNIL se fonde donc uniquement sur les modalités de stockage et la faculté pour la personne concernée de conserver la maîtrise de son gabarit biométrique pour attribuer un régime juridique aux différents dispositifs biométriques. En effet, s’agissant des smartphones, elle rappelle que le gabarit biométrique peut être stocké dans l’appareil, dans un environnement totalement cloisonné, et rester à la seule maîtrise de la personne concernée. Mais il peut aussi être conservé dans un serveur distant en interaction avec le dispositif d’authentification biométrique. Dans ce second cas, la personne concernée n’a pas la maîtrise de son gabarit biométrique.
Selon le type de dispositif mis en place dans le smartphone, deux types de régime juridique peuvent s’appliquer.
Premièrement, lorsque le dispositif biométrique est intégré dans un smartphone, qu’il fonctionne de manière autonome dans une enclave qui n’est pas accessible de l’extérieur, c’est-à-dire dans le cadre d’un stockage individuel, le dispositif biométrique peut entrer dans le champ de l’exemption domestique de l’article 2 de la Loi Informatique et Liberté. Selon cet article, la Loi Informatique et Liberté « s’applique aux traitements automatisés de données à caractère personnel, ainsi qu’aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l’exception des traitements mis en œuvre pour l’exercice d’activités exclusivement personnelles ». Si le dispositif biométrique intégré dans le smartphone rentre dans le champ de cette exemption, il ne sera pas soumis à la Loi Informatique et Libertés et une autorisation de la CNIL ne sera donc pas nécessaire pour mettre en place ce type de dispositif au sein du smartphone. Mais pour rentrer dans le champ de l’exemption domestique, en plus d’être stockées sur un support individuel, les données biométriques doivent rester à la maîtrise de la personne concernée. Pour satisfaire cette exigence, la CNIL détaille un certain nombre de critères pour que les smartphones utilisant ce type de dispositif puissent bénéficier de l’exemption. D’abord, l’utilisateur doit utiliser le dispositif biométrique à titre privé, par exemple pour déverrouiller son téléphone ou pour accéder à des applications qu’il a lui-même téléchargées. Ensuite, l’utilisateur doit prendre seul la décision d’utiliser l’authentification biométrique, il faut donc que soit disponible sur le smartphone, un autre mode d’authentification comme un code d’accès. Le gabarit biométrique qui est alors stocké dans le smartphone doit être dans un environnement cloisonné qui n’est pas accessible de l’extérieur, et il doit être chiffré. Enfin, dans le cadre du contrôle d’accès au smartphone, seule doit être transmise, une donnée indiquant la réussite ou l’échec de l’authentification biométrique.
Deuxièmement, lorsque le dispositif biométrique du smartphone est en interaction avec des serveurs distants dans lesquels est stocké le gabarit biométrique, une autorisation de la CNIL est nécessaire pour mettre en place ce type de dispositif. Ce type de dispositif biométrique ne bénéficie pas de l’exemption puisque la maîtrise du gabarit biométrique est confiée à un organisme tiers. Les risques pour la personne concernée étant plus élevés, une autorisation de la CNIL est nécessaire, ce qui lui permet de veiller à ce que le responsable de traitement prenne les mesures techniques appropriées pour protéger la confidentialité des gabarits biométriques.
Toutefois, il convient de souligner que ces dispositifs biométriques dans les smartphones, qu’ils bénéficient de l’exemption domestique ou qu’ils soient autorisés par la CNIL, présentent des risques non négligeable pour la vie privée des personnes concernées. En effet, qu’elles soient stockées sur le smartphone ou sur un serveur distant, les données biométriques ne sont pas à l’abri d’un piratage informatique. Or, contrairement à un code d’accès qui pourra être modifié après avoir été divulgué, les données biométriques sont immuables, elles sont propres à la personne et ne pourront pas être modifiées. La personne concernée pourrait donc subir un préjudice irréversible au regard de la protection de sa vie privée, comme une usurpation d’identité mais aussi parce que les données biométriques peuvent servir à authentifier certaines transactions sur des applications ou services en ligne. Par ailleurs, en plus de ces considérations, la divulgation de la donnée biométrique contenue dans le smartphone pourrait entraîner pour la personne concernée la perte de la maîtrise de son identité. Elle pourrait alors être identifiée à son insu, sur la seule base de ses caractéristiques physiques.
Le traitement de données biométriques peut donc avoir des conséquences significatives pour la personne concernée. Cela avait déjà été souligné par la Cour Européenne des Droit de l’Homme (CEDH) dans l’affaire S. et Marper c/ Royaume-Uni du 4 décembre 2008 puisque la conservation des empreintes digitales d’un individu identifié ou identifiable pouvait, selon la Cour, donner lieu « à des préoccupations importantes concernant le respect de la vie privée ». Pourtant, dans la Loi Informatique et Libertés, les données biométriques ne sont pas hissées au rang de données sensibles. En revanche, le Règlement Général sur la Protection des données, dans son article 9, intègre les données biométriques parmi les données sensibles, dont le traitement est interdit par principe. Or, il semblerait que la CNIL ait souhaité anticiper le Règlement et prendre acte de la jurisprudence européenne, puisque dans ses autorisations uniques sur le contrôle d’accès aux lieux de travail par des dispositifs biométriques (AU-52 et AU-53), elle insiste sur « le caractère sensible » des données issues du dispositif biométrique. C’est sans doute en raison de ce caractère sensible que la CNIL a préféré détailler un certain nombre de critères que le dispositif biométrique de stockage individuel doit satisfaire avant de pouvoir bénéficier de l’exemption domestique, qui le ferait sortir du champ d’application de la Loi Informatique et Liberté.
DEBET Anne, « Nouvelle évolution de la doctrine de la CNIL en matière de biométrie », Comm. com. électr. n° 1, janvier 2017, commentaire 7.
DUCLERCQ Jean-Baptiste, « L’iPhone 5S et les libertés fondamentales », Revue Général du droit, n°2, septembre 2013. (Disponible sur : http://www.revuegeneraledudroit.eu/?p=11257 ; consulté le 2 avril 2017).
MEURIS-GUERRERO Florence, « Quand les données produites par le corps humain deviennent des mots de passe », Comm. com. électr. n° 11, novembre 2016, alerte 68.
OCHOA Nicolas, « Le droit des données personnelles, une police administrative spéciale », Droit,
Université Paris 1 Panthéon-Sorbonne, 2014, p. 481-484.
Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données (disponible sur : https://www.cnil.fr/sites/default/files/typo/document/Communication-biometrie.pdf ; consulté le 2 avril 2017).
https://www.cnil.fr/fr/biometrie-dans-les-smartphones-loi-informatique-et-libertes-exemption-ou-autorisation; (consulté le 2 avril 2017).
https://www.cnil.fr/fr/smartphone-authentification-avec-vos-donnees-biometriques (consulté le 2 avril 2017).
Délibération n° 2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique (AU-052).
Délibération n° 2016-187 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, reposant sur une conservation des gabarits en base par le responsable du traitement (AU-053).
Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 2.
Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, article 9.
CEDH, 4 décembre 2008, affaire S. et Marper c/ Royaume-Uni.