En 2012, la CNIL avait déjà haussé le ton à l’encontre des employeurs ayant trop facilement recours aux dispositifs biométriques (lecteurs d’empreintes digitales ou de fond de l’œil,...) afin de contrôler les horaires de travail de leurs salariés. Une proposition de loi déposée au Sénat veut cependant aller encore plus loin, en imposant à l’institution de ne délivrer d’autorisation de traiter des données biométriques que dans des cas de « stricte nécessité de sécurité ».
C’est bien la montée en puissance des dispositifs de biométrie qui inquiète les sénateurs membres du groupe socialiste et apparentés. Au travers d’une proposition de loi déposée la semaine dernière, ces élus expliquent en effet que « l'on assiste depuis quelques années au développement exponentiel de l'usage des données biométriques, en particulier pour contrôler l'accès à des services ou à des locaux professionnels, commerciaux, scolaires ou de loisirs ». Données biométriques ? Si l’on cite souvent en exemple les empreintes digitales ou l’iris des yeux, les parlementaires semblent surtout préoccupés quant aux « nouvelles formes de biométrie dont la fiabilité et les risques ne sont pas totalement identifiés, telles que la reconnaissance faciale ou vocale, le "keystroke" (reconnaissance de la frappe au clavier) ou encore la reconnaissance de la dynamique de signature ».
Aux yeux des sénateurs socialistes, l’évolution actuelle des choses « appelle une clarification législative ». Pourquoi ? Parce qu’elle « met en jeu des principes fondamentaux au regard de la protection de la vie privée et du corps humain qui doivent être rappelés et défendus ».
Aujourd’hui, toute entreprise souhaitant mettre en place un dispositif utilisant des données biométriques doit préalablement obtenir une autorisation de la CNIL. Les formalités correspondantes sont d’ailleurs variables en fonction des données exploitées (empreintes digitales, contour de la main, iris,...) et de la finalité du traitement (contrôle d’accès à certaines salles, etc.).
« Biométrie : quelle déclaration pour quel fichier ? » - CNIL.
Un usage des données biométriques limité aux cas de « stricte nécessité de sécurité »
C’est justement à ce régime d’autorisation que les auteurs de cette proposition de loi veulent toucher. « La question qui nous est posée est en effet de savoir si nous sommes prêts à consentir à une banalisation de l'usage de données tirées du corps humain ou si nous voulons que cet usage soit limité à des situations exceptionnelles » affirment les parlementaires pour justifier cette évolution.
En l’occurrence, par « situations exceptionnelles », ces sénateurs entendent « une stricte nécessité de sécurité ». En l’état, leur texte prévoit effectivement de modifier la loi Informatique et Libertés afin que ce ne soit que pour ce motif là que la CNIL puisse être amenée à autoriser les traitements automatisés de données biométriques.
Plus concrètement, quelles situations pourraient être considérées comme des cas où la « stricte nécessité de sécurité » justifie la mise en place d’un traitement automatisé de données biométrique ? Réponse des sénateurs : au nom de « la sécurité des personnes et des biens », ou lorsque « la protection des informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible ». Et ce à condition « que le risque soit élevé et qu'il y ait proportionnalité entre la nature de l'information ou du site à sécuriser et la technologie utilisée ».
Les sénateurs ne cachent pas leur volonté de rester des plus prudents quant au développement de l’usage des données biométriques, et ce alors que la CNIL ou les tribunaux ont épinglé ces dernières années des entreprises étant allées au-delà du tolérable. « Au-delà du souci d'assurer la protection des personnes, cette limitation du recours à la biométrie devrait traduire également notre volonté, qui doit rester forte dans notre société, de garantir la dignité des personnes à laquelle cette technologie est susceptible d'apporter d'indiscutables atteintes ». La CNIL avait pourtant déjà durci ses modalités d’attribution des autorisations en matière de dispositifs biométriques visant au pointage des salariés (voir notre article). Mais cela n’était manifestement pas suffisant aux yeux des élus socialistes du Palais du Luxembourg.
