La biométrie dans les smartphones, que dit la CNIL ?

07.06 2019
Image La biométrie dans les smartphones, que dit la CNIL ?

À l'heure actuelle, presque la totalité des appareils mobiles sur le marché est équipée de la technologie biométrique. La biométrie permet en effet d'authentifier un individu à partir de données qui lui sont propres, sans besoin de mot de passe.

Toutefois, il est indispensable de garantir la protection de l'identité des utilisateurs et des données personnelles. Dans ce contexte, la CNIL établit des règles pour assurer le respect des droits et libertés des personnes, mais également de garantir un usage sécurisé de leurs données biométriques. Cet article est en mesure de vous éclairer sur les conditions d'applications de la CNIL concernant la biométrie dans les Smartphones.

La limitation des risques au minimum

L'usage des données biométriques présente des conséquences graves en cas de détournement ou d'usurpation. L'éditeur du dispositif doit veiller à ce que le système puisse résister à des tentatives de piratage classiques. À cet effet, on peut citer l'utilisation d'une empreinte imprimée à plat pour l'authentification par empreinte digitale. Il y a aussi l'utilisation d'une photo pour duper la reconnaissance faciale.

Dans ce domaine, l'entreprise Semlex offre des solutions efficaces pour limiter la falsification de documents et la divulgation des données confidentielles. C'est une entreprise belge créée par Albert Karaziwan et qui est réputée en identification biométrique.

Le respect de la liberté de choix de l'utilisateur

La biométrie ne doit pas non plus être imposée aux utilisateurs pour accéder à leur Smartphone. Les éditeurs doivent proposer une autre alternative aux utilisateurs qui ne souhaitent pas utiliser leurs caractéristiques biométriques comme un code Pin, un schéma à tracer à l'écran ou un mot de passe. L'utilisateur doit être libre d'utiliser ou non le dispositif biométrique. Et son consentement doit être libre, spécifique et éclairé pour être valable. Cela signifie que :

  • L'utilisateur a été informé individuellement et suffisamment sur le dispositif biométrique et son alternative.
  • Il a la possibilité de choisir un autre mode d'authentification sans contrainte ou contrepartie additionnelle.
  • Il a donné son accord spécifiquement sur l'authentification biométrique et non diluée dans l'acceptation générale des conditions d'utilisation du service. Le consentement doit en outre se faire par écrit notamment sous forme de case à cocher et la trace du consentement doit être conservée.

La possibilité de contrôle de l'utilisateur sur ses données biométriques

La CNIL distingue également le lieu d'hébergement pour attribuer le régime juridique des divers dispositifs biométriques. Selon le cas, ils peuvent bénéficier de l'exemption domestique ou nécessitent une autorisation. Elle recommande le stockage en local pour éviter la récupération de ses données par des tiers.

L'hébergement de ses données biométriques doit se faire uniquement en local, au sein de l'appareil. Les dispositifs biométriques doivent fonctionner de manière autonome dans un environnement totalement cloisonné au sein de l'appareil. Ils doivent rester sous le contrôle exclusif de l'utilisateur afin de limiter les risques de mauvais usage ou de détournement des données biométriques. Concrètement, le dispositif biométrique doit être utilisé à titre privé, les données doivent être stockées sur un support individuel et seul son utilisateur doit en avoir la maîtrise.

Les dispositifs biométriques qui fonctionnent depuis des serveurs distants nécessitent une autorisation de la CNIL. Le fournisseur de l'appareil ou de l'application doit respecter les obligations prévues par le RGPD, notamment de réaliser une analyse d'impact relative à la protection des données.