(Demande d'avis n° 09030390)
La Commission nationale de l'informatique et des libertés,
Saisie pour avis par le ministère de la culture et de la communication d'un projet de décret en Conseil d'Etat portant création d'un traitement de données à caractère personnel reposant sur la reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l'accès aux salles informatiques du ministère de la culture et de la communication ;
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 27-I (2°) ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu la délibération n° 2008-222 du 17 juillet 2008 portant avis sur un projet de décret portant création d'un traitement de données à caractère personnel reposant sur la reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l'accès aux salles informatiques du ministère de la culture et de la communication ;
Sur le rapport de M. Hubert Bouchet, commissaire, et les observations de Mme Elisabeth Rolin, commissaire du Gouvernement adjoint,
Emet l'avis suivant :
Le 10 novembre 2009, la Commission nationale de l'informatique des libertés a été saisie pour avis par le ministère de la culture et de la communication d'un projet de décret en Conseil d'Etat relatif à la mise en œuvre d'un dispositif biométrique ayant pour objet le contrôle de l'accès aux salles informatiques du ministère.
Seuls les personnels du département des systèmes d'information et les prestataires de service, dûment habilités, dont la mission est d'une durée au moins égale à une semaine, seront autorisés à pénétrer dans les zones protégées. Le gabarit de leur empreinte digitale sera enregistré sur une carte individuelle qu'ils seront seuls à détenir. Outre les éléments biométriques, le système de contrôle des accès traitera également le nom et le prénom des personnes concernées, l'historique des accès et les données relatives à l'habilitation des personnes concernées.
Le contrôle d'accès s'effectuera par une comparaison entre le doigt apposé sur le lecteur et le gabarit de l'empreinte digitale enregistré dans la carte à puce. L'historique des entrées dans les salles informatiques sera conservé pendant trois mois.
Le ministère de la culture et de la communication, justifiant en l'espèce d'un impératif de sécurité et le dispositif présenté reposant sur l'enregistrement du gabarit de l'empreinte digitale dans un support individuel exclusivement détenu par la personne concernée, la mise en œuvre d'un traitement reposant sur la reconnaissance de l'empreinte digitale apparaît, en l'état actuel des connaissances sur la technologie utilisée, adaptée et proportionnée à la finalité assignée au dispositif.