Les données biométriques sont-elles un bon outil de sécurité ?
Assurer la sécurité d’un système d’information ou d’un bâtiment pour protéger ce qu’il recèle est capital. En contrôler l’accès est un des principaux moyens d’y parvenir.
Le principe du code (secret) n’est pas neuf. L’innovation porte sur les formes qu’il peut prendre.
Données biométriques et sécurité
“Votre visage, un mot de passe très sûr“, “vos empreintes digitales constituent (…) l’un des codes d’accès les plus sécurisés, parce qu’elles sont uniques“. C’est ce qu’assure Apple au sujet de ses fonctionnalités de sécurité Face ID et Touch ID sur iPhone et iPad au moment de leur lancement.
Le caractère unique des données biométriques fait naître dans le chef des utilisateurs un sentiment de très grande sécurité du système d’accès. Mais il en constitue également la plus grande faiblesse.
En effet, qu’advient-il de la sécurité du système en cas de vol ou de perte ? Lors de reproduction de l’empreinte digitale ou de l’image permettant la reconnaissance faciale ? Ou encore à l’occasion d’altération de celles-ci (par exemple, blessures ou cicatrices) ?
Parce que la donnée biométrique est à ce point unique, elle est impossible à remplacer.
Or, la sécurité d’un système d’information tient en grande partie à la capacité d’en changer régulièrement les codes d’accès.
S’ils sont moins attrayants du point de vue de l’innovation technologique, les systèmes d’accès plus classiques utilisant par exemple les chiffres et les lettres permettent de pallier cette faiblesse. Ils devraient donc être privilégiés du point de vue de la sécurité.
Données biométriques et RGPD
À partir du 25 mai 2018, les données biométriques “traitées aux fins d’identifier une personne physique de manière unique“, figureront parmi les données considérées comme particulières. Elles bénéficieront d’un régime de protection renforcé (art. 9 §1).
Le législateur européen estime en effet que la nature de certaines données justifie qu’une protection particulière leur soit accordée, parce que leur traitement emporte des risques importants pour les libertés et droits fondamentaux de la personne concernée (cons. 51).
Le traitement de ces données sera en principe interdit (art. 9 §1 in fine). Mais des hypothèses de légitimation du traitement sont prévues par le RGPD (art. 9 §2).
Contrairement aux autres catégories de données particulières, la nature (biométrique) de la donnée ne suffit pas pour lui conférer la qualité de donnée particulière.
Encore faut-il qu’elle soit traitée aux fins d’identification ou d’authentification d’un individu. Il faut donc avoir égard, en plus de la nature de la donnée, à la finalité du traitement.
Les données biométriques en tant que catégorie de données particulières au sens du RGPD sont donc celles qui résultent “d’un traitement technique spécifique, [qui sont] relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques” (art. 4, 14°).
En bref
Si le système d’accès basé sur le traitement de données biométriques est configuré de manière à permettre l’identification ou l’authentification de l’individu de manière unique, les données biométriques deviennent des données à caractère personnel particulières au sens du RGPD.
Ce traitement sera en principe interdit (art. 9 §1 in fine).
Seule l’hypothèse du consentement explicite de la personne concernée pourra légitimer le traitement (art. 9 §2, a).
Deux obligations incomberont alors au responsable du traitement, en vertu du principe d’accountability posé par le RGPD (art. 24 §1). D’une part, obtenir le consentement explicite de la personne concernée, au sens du RGPD. D’autre part, le prouver.
Ons advies:
En décidant de contrôler l’accès à votre système d’information ou à vos bâtiments en traitant des données biométriques, vous êtes responsable de ce traitement.
Vous serez tenus, à partir du 25 mai 2018, de mettre en œuvre les mesures techniques et organisationnelles appropriées pour obtenir le consentement et être en mesure de le prouver.
Il convient donc d’analyser et adapter si besoin le processus de traitement des données biométriques (de leur enregistrement à leur utilisation en tant que code d’accès), notamment pour obtenir le consentement explicite requis par le RGPD.
Il serait par ailleurs opportun d’examiner si l’utilisation des données biométriques constitue effectivement le meilleur moyen de contrôler l’accès, en termes de sécurité.