La réglementation

[Admin]

GENERALITES

L’usage de la biométrie est régie par des normes françaises, européennes et par des textes légaux.

Exemples de normes :
NF EN 13921 : Équipements de protection individuelle - Principes ergonomiques - Août 2007
La présente Norme européenne fournit des recommandations sur les caractéristiques ergonomiques génériques des équipements de protection individuelle (EPI). Elle spécifie à l'intention des rédacteurs de normes de produits sur les EPI, des principes en rapport avec : les caractéristiques anthropométriques liées aux EPI ; l'interaction biomécanique entre l'EPI et le corps humain ; l'interaction thermique entre l'EPI et le corps humain ; l'interaction entre l'EPI et les 5 sens : la vue, l'ouïe, l'odorat, le goût et le toucher. La présente Norme européenne ne traite pas des exigences relatives au phénomène dangereux spécifique pour lequel l'EPI est conçu.

NF EN ISO 15535 : Exigences générales pour la création de bases de données anthropométriques - Mai 2007
La présente Norme internationale spécifie les exigences générales relatives aux bases de données anthropométriques qui contiennent des mesures prises conformément à l'ISO 7250 et aux rapports qui leur sont associés. Elle fournit les informations nécessaires telles que caractéristiques de la population utilisatrice, méthodes d'échantillonnage, éléments mesurés et statistiques afin de rendre la comparaison possible à l'échelle internationale parmi diverses tranches de populations. Les tranches de population spécifiées dans la présente Norme internationale concernent des personnes qui sont à même de tenir les postures spécifiées dans l'ISO 7250.

NF EN 547-3 : Sécurité des machines - Mesures du corps humain - Partie 3 : données anthropométriques. Février 1997
La présente norme européenne spécifie les exigences actuelles relatives aux mesures (données) anthropométriques requises dans les EN 547-1 et EN 547-2 pour le calcul des dimensions des orifices d'accès dans le domaine des machines.
Les données anthropométriques sont issues de mesures statiques de personnes dévêtues et ne tiennent donc pas compte des mouvements du corps, des vêtements, de l'équipement, des conditions de fonctionnement de la machine, ni des conditions environnementales.
Les données se basent sur des informations anthropométriques recueillies par sondages, représentatives de groupes de population européenne comprenant au moins 3 millions de personnes, hommes comme femmes.
Les mesures se rapportent, conformément aux prescriptions des EN 547-1 et EN 547-2, aux 5e, 95 et 99e percentiles du groupe de population européenne concerné.

Les textes légaux
Aux termes de la loi informatique et libertés n°78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés et de la réforme législative du 6 août 2004, la CNIL dispose d’un pouvoir d’autorisation expresse des dispositifs biométriques.

Le champ d’application de la Loi et de la compétence de la CNIL
Tous les traitements comportant des données biométriques doivent faire l’objet d’une autorisation préalable de la CNIL. Aucun dispositif biométrique n’a fait l’objet d’un « label CNIL » ou d’un agrément a priori.

Tout organisme qui souhaite installer un dispositif biométrique doit donc adresser par courrier à la CNIL une demande d'autorisation (remplir le formulaire de déclaration accompagné des annexes nécessaires et de tout élément justifiant la mise en place d'un dispositif biométrique).

Cependant, si le traitement est conforme à l'une des décisions cadres (autorisations uniques), établies par la CNIL une simple déclaration de conformité suffit. Ces dispositifs bénéficient de formalités allégées (autorisations uniques), il s'agit :

. Des dispositifs de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire
. Des dispositifs reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail.
. Des dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail.

LES PRINCIPES POSES PAR LA CNIL

La CNIL a précisé, dans un guide rendu public les principaux critères sur lesquels elle se fonde pour autoriser ou refuser le recours à des dispositifs reposant sur la reconnaissance des empreintes digitales avec un stockage sur un terminal de lecture-comparaison ou sur un serveur.
Il s'agit :

. de rappeler les risques liés à cette technologie dont l'utilisation doit rester exceptionnelle ;
. de mieux informer les salariés sur leurs droits et de permettre aux entreprises et administrations, toujours plus nombreuses à vouloir utiliser la biométrie, de se poser « les bonnes questions informatique et libertés ».

C'est en 1997 que la CNIL a examiné son premier dispositif biométrique avec enregistrement des empreintes digitales dans une base de données. Depuis, le nombre de demandes d'autorisation pour de tels systèmes ne cesse de croître. Sur 602 traitements biométriques examinés par la Commission en 2007, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données : 21 ont été refusés, 32 autorisés (les 549 autres traitements concernaient essentiellement des systèmes de reconnaissance du contour de la main). Plus d'une centaine de dossiers sont toujours en cours d'instruction.

L'analyse de la Commission repose sur le constat que :

. l'empreinte digitale est une biométrie à « trace ». Chacun laisse des traces de ses empreintes digitales, plus ou moins facilement exploitables, dans beaucoup de circonstances de la vie courante (sur un verre ou une poignée de porte etc.) ;
. ces « traces » peuvent être capturées à l'insu des personnes et être utilisées notamment pour usurper leur identité.

La Commission tient à clarifier et à préciser sa position : ces dispositifs ne sont justifiés que s'ils sont fondés sur un fort impératif de sécurité et satisfont aux quatre exigences suivantes :

. la finalité du dispositif : elle doit être limitée au contrôle de l'accès d'un nombre limité de personnes à une zone bien déterminée, représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme tel que la protection de l'intégrité physique des personnes, de celle des biens et des installations ou encore de celles de certaines informations (ex : accès à une centrale nucléaire, à une cellule de production de vaccins ou à un site Seveso II) ;
. la proportionnalité : le système proposé est-il bien adapté à la finalité préalablement définie eu égard aux risques qu'il comporte en matière de protection des données à caractère personnel ?
. la sécurité : le dispositif doit permettre à la fois une authentification et/ou une identification fiable des personnes et comporter toutes garanties de sécurité pour éviter la divulgation des données ;
. l'information des personnes concernées : elle doit être réalisée dans le respect de la loi « informatique et libertés » et, le cas échéant, du Code du travail. :

L’information des utilisateurs
Les personnes doivent toujours être individuellement informées des modalités de mis en œuvre de ces dispositifs

Le responsable de traitement de données biométriques doit permettre aux personnes concernées par des informations qu'il détient d'exercer pleinement leurs droits. Cette information se fait lors de la mise en place du dispositif.
Dans le cadre d’une utilisation au sein d’une entreprise, une information préalable doit être faite auprès du comité d'entreprise ou des délégués du personnel et de l'ensemble des personnels concernés par le projet.

LES SANCTIONS

Le non-accomplissement des formalités auprès de la CNIL est passible de 5 ans d'emprisonnement et 300 000 € d'amende.

Avertissements
Certaines entreprises commercialisant des dispositifs de reconnaissance des empreintes digitales affirment avoir reçu un «label» ou un « agrément » de la CNIL. Alertée par ces pratiques, la CNIL rappelle aux responsables de traitement de données biométriques et aux éditeurs de solutions de reconnaissance biométrique qu'elle n'a à ce jour agréé ou labellisé aucun dispositif biométrique.

D'une manière générale, la CNIL n'autorise que les dispositifs où l'empreinte digitale est enregistrée exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base centralisée.