DELIBERATION n°2009-360 du 18 juin 2009

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2009-360 du 18 juin 2009
Délibération n°2009-360 du 18 juin 2009 autorisant la mise en œuvre par le Graduate Management Admission Council (GMAC) représenté par Pearson Education France d’un traitement de données à caractère personnel reposant sur la reconnaissance du réseau veineux de la paume de la main et ayant pour finalité de contrôler l’accès à des salles d’examen et d’empêcher la substitution de candidat à l’examen GMAT(demande d’autorisation n°1323460)
Etat: VIGUEUR

La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 25-I-8° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Sur le rapport de M. Jean-François CARREZ, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;
En application de l’article 25-I-4° et 8° et de la loi du 6 janvier 1978 modifiée en août 2004, la Commission est saisie par le Graduate Management Admission Council (GMAC) d’un traitement de données à caractère personnel reposant sur la reconnaissance du réseau veineux de la paume de la main et ayant pour finalité de contrôler l’accès à des salles d’examen et d’empêcher la substitution de candidat à cet examen.
Formule les observations suivantes :
Le « Graduate Management Admission Council » (GMAC), organisme américain à but non lucratif, administre un examen de gestion et de management appelé « GMAT » (« Graduate Management Admission Test »). Cet examen permet de mesurer les compétences mathématiques, orales et de rédaction analytique nécessaires pour entrer dans un programme de « MBA » (« Master of Business Administration », diplôme d'études supérieures en administration des affaires) ou dans un mastère spécialisé d’une grande école française ou étrangère.
Le GMAC souhaite utiliser un système biométrique reposant sur la reconnaissance du réseau veineux de la paume de la main afin d’éviter qu’une personne se présente à l’examen GMAT en lieu et place du candidat inscrit habilité à le passer.
Ce dispositif biométrique reposera sur un boîtier (terminal de lecture-comparaison) relié à un ordinateur (poste de contrôle), tous deux situés à l’entrée des salles des centres d’examen. L’enrôlement des candidats s’effectuera à partir de ce boîtier et sera réalisé en présence d’un surveillant et s’accompagne du contrôle des pièces d’identité et de la convocation à l’examen. Outre les données biométriques, les éléments d’identification des personnes concernées (nom, prénom, sexe, date et lieu de naissance, numéro de téléphone, adresse électronique, langue maternelle, numéro d’inscription GMAT, photographie numérique, données relatives aux tests et résultats des tests) seront également traitées. Le traitement ne comporte pas de dispositif de reconnaissance faciale automatisée à partir de la photographie.
L’image du réseau veineux de la paume de la main sera immédiatement convertie par le dispositif en un gabarit biométrique crypté qui sera conservé temporairement sur le poste de contrôle et ensuite transmis de manière sécurisée au prestataire Pearson VUE à l’issue de l’examen pour être stocké dans une base centrale hébergée aux Etats-Unis. Le gabarit biométrique crypté sera conservé sur le poste de contrôle de 24h à 7 jours maximum après la session d’examen et dans la base centrale pendant 5 ans, à savoir pour la durée correspondant à la durée de validité du test GMAT.
La conservation locale du gabarit biométrique sur le poste de contrôle aura pour finalité de permettre de reconfirmer l’identité d’un candidat lorsque celui-ci revient dans la salle d’examen à l’issue d’une des pauses autorisées.
La conservation dans la base centrale du gabarit biométrique aura deux finalités. La première sera de permettre de vérifier qu’un candidat qui passe l’examen plusieurs fois sous la même identité, est bien le même individu. A cet effet, lorsqu’un candidat repasse l’examen, son gabarit biométrique sera préalablement transféré au poste de contrôle du centre d’examen depuis la base centrale, afin de permettre une vérification biométrique en début de session. La deuxième finalité sera de vérifier, par comparaison des gabarits biométriques entre eux au sein de la base centrale, qu’une même personne ne s’est pas présentée sous deux identités distinctes au GMAT.
En France, les tests GMAT sont passés chaque année par environ 2000 candidats de diverses nationalités dans 8 centres d’examen situés à Paris, Lyon, Bordeaux, Saint-Herblain, Toulouse, Aix-en-Provence, Strasbourg et Villeneuve d’Ascq. Ces centres d’examen sont des organismes privés qui ne sont pas sous la tutelle du ministère de l’Education nationale.
L’organisme GMAC, établi aux Etats-Unis est considéré comme le responsable du traitement et recourt à des moyens de traitement sur le territoire français dans la mesure où les centres d’examen situés en France collectent des données auprès des candidats au test GMAC.
Conformément à l’article 5-I-2°, la loi applicable au traitement ainsi mis en œuvre par le GMAC auprès de candidats passant le test GMAT dans les centres d’examen situés en France est la loi n° 78-17 du 6 janvier 1978 modifiée.
En application de l’article 5-II de la loi précitée, le GMAC a désigné la société Pearson Education France pour le représenter sur le territoire français. Ce représentant établi en France se substitue à l’organisme GMAC dans l’accomplissement des formalités prévues par la loi n°78-17 du 6 janvier 1978 modifiée.
Le GMAC fait appel à un sous-traitant qui administre et héberge la base relative à la gestion de l’examen GMAT. Ce sous-traitant est la société NCS Pearson Inc., dénommée Pearson VUE  qui est établie aux Etats-Unis et a adhéré au dispositif dit de « Safe Harbor » ou « Sphère de sécurité ».
La Commission considère que le réseau veineux de la paume de la main, en l’état actuel de la technique, est une biométrie sans trace. A cet égard, elle n’est pas susceptible d’être capturée à l’insu des personnes, et présente donc des risques réduits pour les libertés et les droits fondamentaux des personnes. Elle peut ainsi, lorsque le recours à un tel dispositif est justifié par des raisons sérieuses et entouré de garanties appropriées, être employée en matière de lutte contre la fraude à l’identité.
La Commission constate que l’examen GMAT présente des caractéristiques très particulières : cet examen est passé dans des conditions identiques et en anglais dans environ 110 pays, par plus de 200.000 candidats chaque année. Les résultats ("score") obtenus dans un pays sont reconnus dans tous les autres, et constituent un processus de sélection permettant aux candidats d’accéder à près de 1800 grandes écoles de commerce et de gestion, ou formations de niveau MBA/Mastère dans ce domaine. Ces organismes ne sont susceptibles d'utiliser le GMAT que si sa sécurité et sa fiabilité sont parfaitement et uniformément garanties dans l'ensemble des pays concernés. Or les enjeux d'un tel dispositif sont susceptibles de créer de fortes tentations de fraude, et son universalité comporte en particulier des possibilités sérieuses de substitution de candidats. De telles fraudes ont été constatées dans le passé, et ont conduit GMAC à mettre en œuvre dans la plupart des pays concernés un contrôle basé sur les empreintes digitales, biométrie « à traces » offrant moins de garanties que le nouveau dispositif proposé.
Dans ces conditions particulières, la Commission considère que le recours a la reconnaissance du réseau veineux de la paume de la main répond à une finalité légitime et n'est pas excessif au regard de cette finalité.
En cas d’échec du processus de vérification biométrique, le candidat pourra malgré tout passer l’examen. Les surveillants habilités feront alors état de ce problème à Pearson VUE afin de permettre d’en déterminer la cause. Néanmoins, les candidats dont il aura été avéré qu’ils se sont livrés à une tentative de fraude au GMAT se verront refuser la possibilité de repasser l’examen pendant une durée maximale de 5 ans.
La Commission relève que l’exclusion d’un candidat n’est possible qu’à l’issue d’un processus contradictoire au cours duquel celui-ci peut faire valoir ses observations. Cette procédure s’applique dans tous les cas (qu’il s’agisse d’une substitution de candidat ou d’un autre type de fraude, par exemple en cas d’utilisation d’un téléphone portable ou d’un microphone, ou encore de documents dissimulés par le candidat). En cas de contestation de la part du candidat, les images vidéo prises à des fins de sécurité pendant le test peuvent être visionnées et analysées pour déterminer si une fraude a effectivement eu lieu. Dans tous les cas, une lettre est adressée au candidat pour l'informer qu'une fraude a été constatée, et l'inviter à faire valoir ses observations avant toute décision à son égard. La décision finale est prise par un comité constitué à cet effet au sein du GMAC.
La Commission relève que les données biométriques seront conservées pour une durée maximum de 5 ans dans une base centrale située aux Etats-Unis. Elle considère que les mesures de sécurité qui entourent ce dispositif sont appropriées, notamment le chiffrement permanent des gabarits biométriques et leur confinement dans une base séparée des autres données personnelles du candidat.
La Commission prend acte de l'engagement écrit pris en date du 28 avril 2009, par Sherri Sampson, directeur juridique et secrétaire général de GMAC, qui reconnaît à la CNIL le droit de vérifier que lui-même et son sous-traitant aux Etats-Unis se conformeront aux dispositions de l'autorisation, et s'engage à coopérer avec la CNIL si celle-ci décidait d'effectuer des contrôles sur ces bases.
Les droits d’accès et de rectification s’exerceront directement auprès de Pearson VUE par courrier électronique (GMATCandidatesServicesEMEA@pearson.com) ou de la Direction juridique de GMAC.
Les catégories de données à caractère personnel enregistrées seront le gabarit du réseau veineux de la paume de la main, des données d’identification (le nom, le prénom, le sexe, la date et le lieu de naissance, le numéro de téléphone, l’adresse électronique, la langue maternelle, le numéro d’inscription GMAT), la photographie numérique, les données relatives aux tests et les résultats des tests.
Les destinataires des informations seront, dans la limite de leurs attributions et pour la poursuite de la finalité précitée, les personnels de la société sous-traitante NCS Pearson Inc. (dénommée Pearson VUE) située aux Etats-Unis.
Les personnels habilités de l’organisme GMAC, à savoir ceux en charge du support technique et de la sécurité n'auront pas accès aux données biométriques et n'en seront pas destinataires, sauf cas exceptionnel consécutif à une substitution de candidat, si les données biométriques relatives à un candidat concerné devenaient alors nécessaire à l’organisme GMAC dans le cadre d'un litige (par exemple, si le candidat attaquait la décision GMAC de ne pas valider son test).
La Commission prend acte de l’engagement écrit pris en date du 26 mai 2009 par lequel GMAC s’engage auprès de la CNIL à respecter les principes clé de traitement des données prévus à l’annexe A des clauses contractuelles type pour le transfert de données à caractère personnel vers des pays tiers, de responsable de traitement à responsable de traitement (Décision C (2004) 5271 du 27décembre 2004).
La Commission prend acte du contrat, signé par Pearson France agissant au nom et pour le compte de GMAC en tant que représentant de GMAC sur le territoire français, et par Pearson VUE aux Etats-Unis. Ce contrat est pris sur la base des clauses contractuelles type de la Commission européenne issues de la décision 2002/16/CE du 27 décembre 2001encadrant les transferts de données de responsable de traitement à sous-traitant.
Dans ces conditions, la Commission autorise l’organisme GMAC à mettre en œuvre le traitement de données à caractère personnel présenté.

Le Président
Alex TURK



Nature de la délibération: Autorisation