Délibération 2011-183 du 23 juin 2011

Commission Nationale de l'Informatique et des Libertés
Délibération n°2011-183 du 23 juin 2011
Délibération n°2011-183 du 23 juin 2011 autorisant la mise en œuvre par la société JVL d’un traitement automatisé de données à caractère personnel reposant sur la reconnaissance de la frappe au clavier et ayant pour finalité la démonstration de son fonctionnement à de potentiels clients (demande d’autorisation 1458634)
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,

Vu la Convention n°108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment son article 25-I-8° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 modifiée en 2007;

Vu la demande d'autorisation de la société JVL et ses compléments relative à un traitement de données à caractère personnel reposant sur la reconnaissance de la frappe au clavier et ayant pour finalité la démonstration de son fonctionnement à de potentiels clients.

Après avoir entendu Monsieur Bernard Peyrat, commissaire en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations.

Formule les observations suivantes :

La société JVL souhaite présenter dans le cadre de démonstration à de potentiels clients le fonctionnement d'un dispositif biométrique de reconnaissance par frappe au clavier.

Ce dispositif biométrique s'appuie sur la variation de la durée séparant la frappe de deux touches du clavier d'un ordinateur pour la saisie d'une séquence de vingt caractères au minimum. Il concernera uniquement les personnes volontaires lors des démonstrations et les salariés de la société JVL dont l'activité professionnelle a pour objet de présenter ce dispositif.

Il y a lieu de faire application des dispositions prévues à l'article 25-I-8° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l'identité des personnes.

Les personnes pourront accéder à un système d'information de démonstration. Le contrôle d'accès s'effectuera par comparaison entre le gabarit de la frappe au clavier lors de la tentative d'accès au dispositif par la personne et le gabarit de sa frappe au clavier préalablement enregistré.
Les utilisateurs seront informés, au moment de la collecte de leurs données par la remise d'une note d'information, que les données biométriques recueillies seront utilisées dans un but uniquement de démonstration commerciale.
Les catégories de données à caractère personnel enregistrées seront :
- Nom, prénom et/ou pseudonyme ;
- Le gabarit de la frappe au clavier ;
- L'adresse IP.

L'ensemble des données personnelles des personnes volontaires seront conservées par la société JVL uniquement le temps de la démonstration.

Les données biométriques des salariés de JVL seront supprimées lorsqu'ils ne seront plus en charge d'effectuer des démonstrations de ce dispositif biométrique. Leurs adresses IP seront conservées six mois à compter du jour de la connexion au dispositif. Le dispositif reposera sur un identifiant et un mot de passe et également sur la reconnaissance de la frappe au clavier de ces données.

La Commission rappelle qu'elle est particulièrement vigilante sur le risque de dispersion des données biométriques, que son origine en soit accidentelle ou malveillante. Cependant, la Commission constate que plusieurs mesures de sécurité seront mises en œuvre afin de garantir la protection des données. Les gabarits biométriques des personnes enrôlées seront chiffrés par l'intermédiaire d'un algorithme public réputé fort. La clef de chiffrement utilisée sera spécifique à la société JVL. La base de données qui contient les gabarits biométriques chiffrés sera hébergée par la société JVL et non par un prestataire. La société JVL s'assurera qu'aucun logiciel ou dispositif matériel permettant d'enregistrer puis de simuler les caractéristiques de la frappe clavier d'une personne, à son insu notamment, ne pourra être installé sur le poste informatique.

Compte tenu de ce qui précède, dans la mesure où seules les données des personnes volontaires seront traitées, de l'absence de conservation de leurs données à l'issue de la démonstration, au regard des mesures de sécurité mises en œuvre et de l'utilisation de cette biométrie en complément d'un identifiant et d'un mot de passe, le traitement soumis à la Commission et en particulier, le recours à la constitution de bases de données biométriques, ne comporte pas en l'espèce de risques particuliers pour la protection des libertés et des droits fondamentaux de la personne.

Les droits d'accès, de rectification et d'opposition s'exerceront par courrier auprès de la JVL SARL - 94 Rue Jules Guesde - 92300 Levallois Perret.

Le destinataire des informations sera, dans la limite de ses attributions et pour la poursuite de la finalité précitée, l'administrateur du dispositif de la société JVL.

Dans ces conditions, la Commission autorise, en l'espèce, la société JVL à mettre en œuvre le traitement de données à caractère personnel présenté.

Le Président,

Alex TÜRK




Nature de la délibération: AUTORISATION