Il y a quelques années, seules dans les films d’anticipation apparaissaient des serrures biométriques. Aujourd’hui, la réalité a rattrapé la fiction et particuliers comme entreprises ont recours à ces systèmes d’identification basés sur des caractéristiques physiques pour sécuriser l’accès à des locaux, des matériels informatiques ou même des logiciels. Zoom sur les techniques déjà opérationnelles et sur le cadre juridique de leur utilisation.
De l’empreinte à l’iris
Il existe différentes technologies utilisées par les fabricants de verrous biométriques. Certaines sont déjà commercialisées d’autres sont encore en cours d’expérimentation.
Le lecteur d’empreinte palmaire est le système le plus connu. Sur le marché depuis plusieurs années, via une lentille sur laquelle il faut poser un doigt, il vient vérifier qu’une empreinte digitale est bien conforme à un gabarit de référence. Cette technique est utilisée sur des portes, des ordinateurs portables ou encore sur de plus en plus de smartphones.
Dans plusieurs entreprises, sont également mis en œuvre des lecteurs biométriques analysant la forme de la main ou celle du visage, des lecteurs scannant le réseau vasculaire des doigts ou encore l’iris de l’œil. Ces types de lecteurs sont bien plus fiables que les lecteurs d’empreintes digitales. Une fiabilité accrue qui tient notamment au fait que ces verrous s’appuient sur des caractéristiques biométriques dites « sans traces ». S’il est relativement simple de retrouver (et donc de reproduire) les empreintes d’une personne dans son lieu de vie, il est beaucoup plus complexe de reconstituer le réseau vasculaire de ses doigts ou de sa main.
Moins de 200 € seront suffisants pour s’offrir une serrure à lecteur d’empreinte alors qu’il faudra débourser plus de 700 € pour un lecteur de la forme de la main ou pour une serrure analysant le système veineux ou l’iris.
En plus ou en remplacement de ces techniques déjà éprouvées, d’autres systèmes devraient bientôt être proposés sur le marché des serrures biométriques. Certains s’appuieront sur l’analyse de la voix ou du système veineux de l’œil. D’autres, plus surprenants devraient être capables d’identifier une personne sans se tromper en se basant sur la forme de son canal auditif, sa démarche et même son rythme cardiaque.
L’utilisation de la biométrie dans les entreprises
Les informations utilisées par les serrures biométriques sont, par nature, des données personnelles. Leur utilisation, dans le monde des entreprises, ne peut intervenir que dans le respect d’une réglementation très stricte.
Tout d’abord, il convient de préciser que la mise en place d’un système de serrures biométriques dans une entreprise n’est pas une opération anodine qui peut être lancée sans réflexion préalable. Le contrôle d’accès biométrique étant très intrusif en matière de données personnelles, sa mise en place ne peut s’effectuer que si elle est justifiée. Autrement dit, rappelle la Cnil, un tel système ne doit être déployé que si les systèmes traditionnels (badge, clé, vidéosurveillance, gardiennage…) s’avèrent insuffisants, notamment par rapport à l’activité de l’entreprise. Ainsi, une entreprise qui stocke des produits dangereux ou qui effectue des recherches scientifiques stratégiques sera bien plus légitime à adopter la biométrie qu’une boulangerie ou qu’une entreprise de services classiques. La Cnil précise que « les responsables du traitement voulant se conformer à ces autorisations devront démontrer au moyen d’une documentation étayée, que le contexte de mise en œuvre du contrôle d’accès justifie le recours à un traitement biométrique ».
L’utilisation des systèmes biométriques est encadrée par la loi et doit faire l’objet, lors de sa mise en place, d’une déclaration simplifiée à la Cnil. Deux situations sont prévues. La première (autorisation unique AU-052) concerne les systèmes biométriques permettant aux personnes de « garder la maîtrise de leur gabarit » soit en détenant un support sur lequel ledit gabarit est stocké (dans cette hypothèse, il doit être inséré dans le lecteur pour permettre l’ouverture), soit en rendant illisible par des tiers le gabarit stocké sur le lecteur (ici, seule la personne concernée détient la clé de déchiffrement permettant d’accéder en clair à son gabarit). Ce système est privilégié par la Cnil dans la mesure où il réduit les risques de détournement des données des personnes utilisant les serrures biométriques.
La seconde situation (autorisation unique AU-053) s’applique aux dispositifs biométriques qui, pour des raisons de sécurité (qui devront être justifiées par l’entreprise), ne permettent pas aux personnes de garder la maîtrise de leur gabarit. Dans cette situation, l’entreprise devra « adopter des mesures permettant de limiter au maximum les risques pour la vie privée ». Des mesures qui devront être présentée dans une documentation.