On parle de biométrie pour désigner l’ensemble des technologies permettant de reconnaître automatiquement un individu à partir de ses caractéristiques propres, qu’elles soient physiques ou biologiques. Ergonomique et efficace, la biométrie constitue une évolution majeure. Son utilisation offre aux entreprises de réels avantages pour contrôler l’accès aux lieux de travail, au matériel et aux outils professionnels. Mais la collecte et le traitement de ces données sensibles ne sont pas sans danger pour la vie privée des collaborateurs et des collaboratrices. La loi impose des règles strictes pour éviter les atteintes aux droits fondamentaux des personnes, et garantir la protection de leurs libertés individuelles. Les dispositifs biométriques au service de l’authentification des personnes La biométrie désigne le fait d’identifier un individu grâce à des caractéristiques qui lui sont propres. On distingue : La biométrie biologique, qui utilise les échantillons organiques humains comme moyen d’identification : ADN, sang, salive, urine… Cette forme de biométrie est interdite pour contrôler l’accès à des locaux ou à des outils professionnels. La biométrie physiologique ou morphologique, qui permet de reconnaître automatiquement une personne selon ses particularités physiques : empreintes digitales, traits du visage, géométrie de la main, yeux, timbre de voix… La biométrie comportementale, axée sur les habitudes individuelles, qui analyse divers paramètres : la gestuelle, la démarche, la dynamique de frappe, ou encore l’intonation de la voix. Les renseignements biométriques sont, par définition, des données personnelles. En effet, ils permettent d’identifier une personne, au même titre que le prénom, le nom de famille ou le numéro de téléphone. Quand la biométrie s’invite dans les entreprises pour plus de sécurité Les technologies biométriques sont d’ores et déjà bien ancrées dans notre vie de tous les jours. À l’image du capteur d’empreinte ou du « Face ID », employés pour le déverrouillage des smartphones par exemple. Ces dispositifs pratiques séduisent également les entreprises, car ils facilitent les procédures et le quotidien des employées et employés. Les sociétés s’affranchissent désormais des mots de passe, clés et autres badges de sécurité : le corps des personnes salariées fait office d’identifiant unique. De plus en plus d’organisations souhaitent ainsi se doter de solutions biométriques comme les scanners rétiniens ou la reconnaissance faciale. En 2016 déjà, Capital indiquait que les demandes de la part des acteurs privés progressaient à un rythme soutenu de 20 % par an. Mais au-delà de la simple question pratique, si les systèmes biométriques fleurissent dans la sphère professionnelle depuis plusieurs années, c’est surtout parce qu’ils permettent de renforcer les contrôles d’accès sur les lieux de travail, et de sécuriser les transactions. Dans le secteur privé, le marché [de la biométrie] croît de 20 % par an. Capital.fr, 13/12/2016 RGPD et CNIL : un cadre juridique ajusté pour faire face aux défis de la biométrie Force est de constater que les données biométriques apportent plus de fiabilité. Cependant, les informations relatives aux caractéristiques physiques et comportementales des individus n’en demeurent pas moins des données personnelles, uniques et immuables. Leur détournement suite à une cyberattaque peut considérablement impacter les droits et libertés des personnes concernées. En ce sens, le règlement général sur la protection des données (RGPD), qui encadre le traitement des données personnelles en Europe depuis mai 2018, qualifie les marqueurs biométriques de « données sensibles ». Ces renseignements font ainsi l’objet d’une protection particulière en raison de leur nature critique. En savoir plus Données biométriques : menace ou sécurité ? En savoir plus Données biométriques : menace ou sécurité ? Pour mettre en œuvre le RGPD, l’État a adapté la législation française avec la publication d’un règlement type « en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques ». Le document a été publié en mars 2019 par la Commission nationale de l’informatique et des libertés (CNIL). Les règles à respecter pour le contrôle d’accès biométrique sur le lieu de travail Les employeurs publics ou privés qui envisagent de contrôler de façon biométrique l’accès aux locaux, aux applications ou aux appareils utilisés par le personnel doivent se conformer aux exigences fixées par le règlement type de la CNIL. Concrètement, les entreprises doivent suivre des obligations contraignantes, à savoir : Démontrer le besoin d’une solution biométrique en tenant compte de divers facteurs : nécessité d’un haut niveau de protection, locaux à risques, outils sensibles, contraintes techniques… Prouver l’impossibilité de recourir à des techniques d’identification et d’authentification moins intrusives : par exemple, en raison d’un danger élevé d’usurpation d’identité en cas de vol du badge. Expliciter les raisons qui motivent le choix d’un type de biométrie plutôt qu’un autre : iris, réseau veineux de la paume, reconnaissance faciale… Sélectionner le type de stockage le plus adapté pour les mesures biométriques des personnes employées : la conservation des gabarits sous maîtrise partagée ou dans une base de données centralisée nécessite une justification détaillée. Au demeurant, les organismes doivent également s’assurer de leur conformité avec le RGPD. Cela implique notamment la conduite d’une « analyse d’impact relative à la protection des données » avant la mise en œuvre du traitement de données biométriques. Par ailleurs, les entreprises sont tenues de revoir leur documentation en fonction des risques tous les 3 ans minimum. Une version actualisée doit pouvoir être fournie en cas de contrôle par la CNIL. Facebook Twitter LinkedIn Lire aussi Comment concilier cybersécurité et sobriété numérique ? Technologie & Systèmes 13 février 2024 Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de… Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ? Technologie & Systèmes 30 janvier 2024 Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la… La cybersécurité des infrastructures critiques, un enjeu d’importance nationale Technologie & Systèmes 23 janvier 2024 Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment… Voir plus d'articles Abonnez-vous ! Envoyer
Comment concilier cybersécurité et sobriété numérique ? Technologie & Systèmes 13 février 2024 Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…
Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ? Technologie & Systèmes 30 janvier 2024 Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…
La cybersécurité des infrastructures critiques, un enjeu d’importance nationale Technologie & Systèmes 23 janvier 2024 Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…