Quelle est la définition de donnée biométrique?
Les données personnelles résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.
A quelle catégorie de données personnelles appartiennent les données biométriques?
Les données biométriques font partie des catégories particulières des données (données sensibles). Le traitement des données sensibles est par défaut interdit. Cette interdiction fait l’objet de quelques dérogations (consentement de la personne concernée, nécessaire aux fins de l’exécution des obligations et des droits propres au responsable de traitement, intérêt public, intérêt vital de la personne concernée, etc.).
Quels sont les cas d’usage des données biométriques?
Le traitement des données biométriques est en particulier pour l’authentification biométrique
- Contrôle d’accès à l’entrée et dans les locaux
- Contrôle d’accès à des appareils et applications informatiques.
Les applications de mobiles relatives aux services publics (Ameli, mutuelle) ou privés (banques, les opérateurs de télécommunication) font l’usage davantage à une authentification biométrique.
les smart phones sont équipés de dispositif d’empreinte digital. L’empreinte digital est enregistré dans la téléphone.
Les applications ci-dessus mentionnées réutilisent sous le consentement du titulaire d’empreinte ces données bimétriques afin d’authentifier l’utilisateur de l’application lors de la connexion à sont compte personnel par smartphone.
Quelles sont les données personnelles collectées?
- identité : nom, prénom, photographie et gabarit de la caractéristiques biométriques, clé biométrique, n° d’authentification ou n° de support individuel, coordonnés
- vie professionnelle: n° de matricule interne, corps ou service d’appartenance, grade, nom de l’employeur
- accès aux locaux: porte utilisée, zones et plage horaire d’accès autorisées, date et heure d’entrée et de sortie
Quelles sont les modalités et durées de conservation des données biométriques?
Les caractéristiques biométriques doivent être conservées sous la forme d’un gabarit chiffré irréversible ne permettant pas de recalculer la donnée biométrique d’origine.
Quelles sont les mesures de sécurité à mettre en place concernant les données biométriques?
La CNIL dans son règlement type relatif aux traitements des données biométriques pour l’authentification biométrique recommande des mesures de sécurité suivantes:
- mesures relatives à la sécurité des données: cloisonner les données, chiffrer les données biométriques, associer un code d’intégrité aux données (signature ou hachage), interdire tout accès externe à la donnée biométrique (match on card, Hardware Security Module), effectuer le conrôle d’accès via la fonction de hachage (comparaison entre l’échantillon calculé et le gabarit d’enrolement), veiller à l’effectivité de l’effacement des données à l’issue de la durée de conservation)
- mesures relatives à l’organisation: responsabilisation des personnes, gestion d’accès physique ou logique, notifier les personnes concernées en cas d’accès non autorisé à leurs données
- mesures relatives aux matériels: utiliser les matériels certifiés, garantir la traçabilité du cycle de vie des du matériel
- mesures relatives aux logiciels: tenir un logiciel à jour équipé d’un antivirus
- mesures relatives aux canaux d’information: sécuriser les canaux d’information.
Quels sont les principes à respecter lors d’utilisation de la biométrie par des particuliers?
La CNIL précise sa doctrine pour mieux encadrer les systèmes d’authentification biométrique utilisés par des particuliers dans leur vie quotidienne et inciter les professionnels à veiller à ce que les technologies utilisées garantissent la protection des données personnelles.
Ces principes sont les suivants:
- Justifier d’un besoin spécifique.
- Laisser la personne libre d’y recourir ou de choisir un dispositif alternatif (consentement libre, spécifique et éclairé).
- Maintenir les données biométriques sous le contrôle exclusif de la personne concernée.
Les exceptions à ces principes doivent être limitées et motivées. Pour plus d’info.