Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les données biométriques ont la particularité d'être uniques et permanentes, car elles permettent d'identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (ex. : empreinte digitale, contour de la main). Elles ne sont pas attribuées par un tiers ou choisies par la personne. Elles sont produites par le corps lui-même et le désigne de façon définitive. Elles permettent de ce fait le suivi des individus et leur identification.
La gestion des contrôles de l'accès à des zones, appareils et applications limitativement identifiées par le responsable de traitement comme faisant l'objet d'une restriction de circulation et d'accès peut s'effectuer grâce à la mise en œuvre d'un dispositif de reconnaissance biométrique résultant d'un traitement technique spécifique des caractéristiques physiques, physiologiques ou comportementales d'une personne physique, permettant ou confirmant son identification unique, telles que des images faciales ou des données dactyloscopiques.
Le caractère sensible des données issues de ce traitement justifie que la loi prévoie un contrôle spécifique de la CNIL, pour apprécier la proportionnalité du traitement au regard de la finalité recherchée telle que la gestion des restrictions d'accès mises en place dans un contexte professionnel. De tels dispositifs relèvent en effet de l'article 25-I (8°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l'identité des personnes.
Par ailleurs, il y a lieu, en l'état des connaissances sur la technologie utilisée, de faire application des dispositions de l'article 25-II aux termes duquel les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et les mêmes destinataires ou catégories de destinataires, peuvent être autorisés par une décision unique de la commission. Au cours des dernières années, la commission a émis plusieurs autorisations uniques de mise en œuvre de dispositifs biométriques de contrôle d'accès aux lieux de travail fondés soit sur la reconnaissance du contour de la main (délibération n° 2006-101 du 27 avril 2006 portant autorisation unique 007), soit sur la reconnaissance de l'empreinte digitale (délibération n° 2006-102 du 27 avril 2006 portant autorisation unique 008), soit sur la reconnaissance du réseau veineux des doigts de la main (délibération n° 2009-316 du 7 mai 2009 portant autorisation unique 019), ou de contrôle d'accès aux postes informatiques portables professionnels par reconnaissance de l'empreinte digitale (délibération n° 2011-074 du 10 mars 2011 portant autorisation unique 027).
Les dispositifs autorisés par ces décisions uniques ont pour finalité commune la gestion et le contrôle des restrictions d'accès définies dans un contexte professionnel, que ces accès soient logiques ou physiques, à partir de différentes caractéristiques biométriques. Toutefois, les modalités de conservation du gabarit qu'elles autorisent diffèrent en fonction des caractéristiques biométriques utilisées.
L'évolution des technologies appelle une révision des cadres de références actuels.
Face au développement du recours aux dispositifs biométriques aux fins de contrôle d'accès, la commission doit veiller, conformément à l'article 1er de la loi du 6 janvier 1978 modifiée, à ce que ces traitements restent au service du citoyen et ne « portent atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
La délibération n° 2016-186 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique, pose des conditions garantissant un haut niveau de confidentialité et une limitation des risques de détournement ou d'usurpation de la donnée. Dès lors, la commission appelle les responsables du traitement à privilégier les dispositifs biométriques répondant aux conditions édictées par cette délibération de manière à préserver la maîtrise des personnes sur leurs données biométriques.
Toutefois, la détention d'un support de stockage ou d'un secret par la personne concernée n'est pas toujours compatible avec les besoins du responsable du traitement et avec le contexte de mise en œuvre du dispositif biométrique. La conjugaison de plusieurs facteurs, tels que le nombre de personnes concernées, les exigences sanitaires applicables aux locaux protégés, leur sensibilité ou encore la nécessité pour le responsable du traitement de maîtriser en temps réel l'ensemble du dispositif, peut contribuer à justifier un stockage des gabarits en base centrale interconnectée aux différents terminaux de lecture comparaison ou sur le serveur de ces derniers.
Afin de tenir compte de ces situations, la présente décision précise les conditions de mise en œuvre des traitements biométriques reposant sur une conservation des gabarits en base par le responsable du traitement. Ces conditions portent tant sur la justification de la pertinence de ces dispositifs que sur les mesures à mettre en œuvre pour limiter les risques de détournement et d'usurpation de la donnée et plus généralement les risques pour la vie privée des personnes concernées.
Le périmètre des traitements biométriques couverts par la présente autorisation unique s'étend à toute personne disposant d'une habilitation d'accès contrôlée par le dispositif biométrique mis en œuvre par le responsable du traitement concerné, et à toute caractéristique biométrique, utilisée seule ou de manière combinée. Enfin, la présente autorisation ne vise pas un type de local ou d'appareil précis mais, de manière plus générale, tout local, appareil ou application identifié de manière limitative par le responsable du traitement comme faisant l'objet d'une restriction d'accès par contrôle d'accès biométrique.
Le responsable de traitement mettant en œuvre un dispositif de contrôle d'accès reposant sur la reconnaissance d'une des caractéristiques biométriques visées par la présente décision dans le respect de ses dispositions adresse à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation. Il s'engage à documenter les mesures prises pour répondre à chacune des dispositions de la présente autorisation.
Dès lors, les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.