Mesures de sécurité.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
Compte tenu de la sensibilité des traitements concernées et des risques liés au stockage des gabarits en base, le responsable du traitement s'engage à documenter la conformité de son traitement sous forme d'analyse d'impact relative à la protection des données. L'analyse doit comprendre une description systématique des opérations de traitement envisagées et des finalités du traitement ainsi qu'une évaluation de la nécessité et de la proportionnalité des opérations de traitement au regard des finalités, conformément à l'article 2 de la présente délibération. Elle doit également détailler les mesures envisagées afin de faire face aux risques pour les droits et libertés des personnes concernées, y compris les garanties, mesures et mécanismes de sécurité visant à assurer la protection des données à caractère personnel, conformément au présent article.
Au regard des risques identifiés par la commission, le responsable du traitement s'engage notamment à adopter les mesures suivantes, ou des mesures équivalentes dont il démontre l'équivalence :
- mesures portant sur les données :
- cloisonner les données lors de leur transmission et leur conservation ;
- chiffrer les données biométriques, dont les gabarits, à l'aide d'un algorithme cryptographique et d'une gestion des clés conformes à l'état de l'art ; en particulier, une politique de chiffrement et de gestion des clés doit être clairement définie (changement des clés par défaut, algorithmes et tailles des clés conformes à l'état de l'art, renouvellement prévu…) ;
- associer un code d'intégrité aux données (par exemple, signature par hachage) ;
- interdire tout accès externe à la donnée biométrique (module de sécurité physique/logique type HSM) ;
- effectuer le contrôle d'accès par une comparaison entre l'échantillon calculé et le gabarit d'enrôlement enregistré (en base interne/distante) sans copie du gabarit ;
- veiller à l'effectivité de l'effacement des données à l'issue de la durée de conservation ;
- supprimer la donnée biométrique en cas d'accès non autorisé au terminal de lecture-comparaison ou au serveur distant ;
- supprimer toute donnée non utile au traitement ultérieur lors de la fin de vie du dispositif biométrique ;
- mesures portant sur l'organisation :
- informer les personnes concernées, de manière complète, spécifique et intelligible, via des supports clairs et synthétiques ;
- responsabiliser les personnes concernées sur les bonnes conditions d'utilisation des matériels ;
- mettre à disposition un dispositif alternatif « de secours » ou utilisé à titre exceptionnel, sans contrainte ni surcoût pour les personnes n'utilisant pas la solution biométrique ; en particulier, pour les personnes ne répondant pas aux contraintes du dispositif biométrique (enrôlement ou lecture de la donnée biométrique impossible) et en prévision d'une indisponibilité du dispositif biométrique (tel qu'un dysfonctionnement du dispositif), une « solution de secours » doit être mise en œuvre pour assurer une continuité du service proposé, limitée toutefois à un usage exceptionnel ;
- tester le système selon une procédure formalisée, avant sa mise en place et après toute modification, dans un environnement dédié et sans recourir à des données réelles ;
- déterminer les actions à entreprendre en cas d'échec de l'authentification (impossible de vérifier une identité, défaut d'habilitation à pénétrer dans une zone sécurisée…) ;
- gérer de manière stricte l'accès physique et logique aux dispositif et bases de données par les personnes habilitées ; en particulier, une politique de gestion des droits et des accès doit être clairement définie ; il s'agit de formaliser les différentes catégories de personnes habilitées (utilisateurs, administrateurs et gestionnaires de bases de données, personnes en charge de la gestion des données, personnes techniques de maintenance…), leurs droits sur les données, la manière dont les habilitations sont gérées, la manière dont leur accès est contrôlé, la manière dont les secrets sont gérés, les traces journalisées, la manière dont les traces sont gérées, etc. ;
- former spécifiquement les administrateurs et personnes habilitées à gérer les données (enrôlement, traitements, effacement…) ;
- intégrer une mesure technique ou organisationnelle de détection anti-fraude ;
- prévenir les personnes concernées en cas d'accès non autorisé à leurs données ;
- formaliser, appliquer et faire connaître une procédure de secours en cas d'incident (prévoyant notamment le ré-enrôlement) ;
- obtenir un engagement de responsabilité de la part des administrateurs ;
- journaliser les opérations effectuées sur les supports ;
- assurer des mesures de sauvegarde ;
- formaliser et tester une procédure de récupération du système ;
- mesures portant sur les matériels :
- mettre en œuvre des mesures permettant d'être alerté en cas de tentative d'effraction sur le lecteur ou le dispositif de stockage ; en particulier, en cas de stockage de la donnée sur une base locale intégrée au dispositif biométrique, toute tentative d'ouverture ou d'arrachement du terminal de lecture/comparaison doit être détectée, suivie d'un signalement à l'administrateur du dispositif ;
- réserver un matériel spécifique au stockage des données ;
- utiliser des matériels certifiés aux conditions d'usage et en termes de sécurité ;
- garantir la traçabilité du cycle de vie du matériel ;
- mesures portant sur les logiciels :
- réserver un logiciel spécifique à l'usage des données ;
- signer le logiciel et vérifier sa signature ;
- tenir les logiciels à jour selon une procédure formalisée ;
- vérifier que les modifications apportées par les éditeurs de logiciels ne favorisent pas la fuite de données ;
- recourir à des mécanismes de détection et de protection contre les logiciels malveillants et logiciels espions, éprouvés et tenus à jour ;
- limiter les actions des usagers sur les logiciels ;
- garantir la traçabilité du cycle de vie des logiciels ;
- vérifier régulièrement les licences des logiciels utilisés ;
- mesures portant sur les canaux informatiques :
- sécuriser les canaux informatiques (canaux réservés et chiffrés) ;
- interdire la transmission des gabarits stockés.
Le responsable du traitement s'engage à tenir à la disposition de la commission une copie de l'analyse d'impact relative à la protection des données établie en application du présent article.