Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les données biométriques ont la particularité d'être uniques et permanentes, car elles permettent d'identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (par ex. : empreinte digitale, contour de la main). Elles ne sont pas attribuées par un tiers ou choisies par la personne. Elles sont produites par le corps lui-même et le désignent de façon définitive. Elles permettent de ce fait le suivi des individus et leur identification.
La gestion des contrôles de l'accès à des zones, appareils et applications limitativement identifiées par le responsable de traitement comme faisant l'objet d'une restriction de circulation et d'accès peut s'effectuer grâce à la mise en œuvre d'un dispositif de reconnaissance biométrique résultant d'un traitement technique spécifique des caractéristiques physiques, physiologiques ou comportementales d'une personne physique, permettant ou confirmant son identification unique, telles que des images faciales ou des données dactyloscopiques.
Le caractère sensible des données issues de ce traitement justifie que la loi prévoie un contrôle spécifique de la CNIL, pour apprécier la proportionnalité du traitement au regard de la finalité recherchée telle que la gestion des restrictions d'accès mises en place dans un contexte professionnel. De tels dispositifs relèvent en effet de l'article 25-I (8°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l'identité des personnes.
Par ailleurs, il y a lieu, en l'état des connaissances sur la technologie utilisée, de faire application des dispositions de l'article 25-II aux termes duquel les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et les mêmes destinataires ou catégories de destinataires, peuvent être autorisés par une décision unique de la commission. Au cours des dernières années, la commission a émis plusieurs autorisations uniques de mise en œuvre de dispositifs biométriques de contrôle d'accès aux lieux de travail fondés soit sur la reconnaissance du contour de la main (délibération n° 2006-101 du 27 avril 2006 portant autorisation unique 007), soit sur la reconnaissance de l'empreinte digitale (délibération n° 2006-102 du 27 avril 2006 portant autorisation unique 008), soit sur la reconnaissance du réseau veineux des doigts de la main (délibération n° 2009-316 du 7 mai 2009 portant autorisation unique 019), ou de contrôle d'accès aux postes informatiques portables professionnels par reconnaissance de l'empreinte digitale (délibération n° 2011-074 du 10 mars 2011 portant autorisation unique 027).
Les dispositifs autorisés par ces décisions uniques ont pour finalité commune la gestion et le contrôle des restrictions d'accès définies dans un contexte professionnel, que ces accès soient logiques ou physiques, à partir de différentes caractéristiques biométriques. Toutefois, les modalités de conservation du gabarit qu'elles autorisent diffèrent en fonction des caractéristiques biométriques utilisées.
L'évolution des technologies appelle une révision des cadres de références actuels.
Face au développement du recours aux dispositifs biométriques aux fins de contrôle d'accès, la commission doit veiller, conformément à l'article 1er de la loi du 6 janvier 1978 modifiée, à ce que ces traitements restent au service du citoyen et ne « portent atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
La présente autorisation concerne les dispositifs de contrôle d'accès biométriques mis en œuvre dans des conditions assurant la maîtrise de la personne concernée sur son gabarit biométrique et offrant des garanties de sécurité et de confidentialité fortes, qui peuvent se décliner sous deux formes de mise en œuvre.
En premier lieu, la commission estime que les systèmes recourant au stockage des données biométriques sur un support individuel détenu par les personnes concernées garantissent une meilleure protection de la vie privée. En effet, placer la donnée sous le contrôle exclusif des intéressés permet mécaniquement de réduire les risques de détournement et l'impact d'une usurpation, si le support est subtilisé. En cas de perte ou de vol du support individuel, seule la donnée concernée est compromise et non tous les gabarits des salariés soumis au contrôle d'accès.
En second lieu, s'il est avéré que la détention d'un support dédié au seul stockage du gabarit n'est pas adaptée à l'architecture et au contexte d'exploitation du dispositif, le responsable du traitement peut, de manière alternative, assurer le verrouillage des données biométriques stockées en base, par un secret détenu par la seule personne concernée. Dans ces deux hypothèses, l'utilisation du gabarit biométrique reste conditionnée à une action de la personne concernée en tant que détentrice du gabarit ou du secret permettant de le déverrouiller.
Le périmètre des traitements biométriques couverts par la présente autorisation unique s'étend à toute personne disposant d'une habilitation d'accès contrôlée par le dispositif biométrique mis en œuvre par le responsable du traitement concerné, et à toute caractéristique biométrique, utilisée seule ou de manière combinée. Enfin, la présente autorisation ne vise pas un type de local ou d'appareil précis mais, de manière plus générale, tout local, appareil ou application identifié de manière limitative par le responsable du traitement comme faisant l'objet d'une restriction d'accès par contrôle d'accès biométrique.
Le responsable de traitement mettant en œuvre un dispositif de contrôle d'accès reposant sur la reconnaissance d'une des caractéristiques biométriques visées par la présente décision dans le respect de ses dispositions adresse à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation.
Dès lors, les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.