DELIBERATION n°2015-088 du 5 mars 2015

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2015-088 du 5 mars 2015
Délibération n° 2015-088 du 5 mars 2015 refusant la mise en œuvre par la société IQ CONCEPT SAS d'un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance du contour de la main et ayant pour finalité le contrôle des horaires.
Etat: VIGUEUR

(demande d’autorisation n° 1813356)
La Commission nationale de l'informatique et des libertés,
Saisie par la société IQ CONCEPT SAS d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance du contour de la main et ayant pour finalité le contrôle des horaires ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-8° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Sur la proposition de Mme Marie-France MAZARS, commissaire, et après avoir entendu M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Afin de contrôler les horaires de ses salariés, la société IQ CONCEPT SAS, spécialisée dans le secteur des activités des parcs d'attractions et parcs à thèmes, a saisi la Commission nationale de l’informatique et des libertés (CNIL) d’un traitement de données comportant un dispositif biométrique de reconnaissance du contour de la main.
A titre liminaire, il convient de rappeler qu’à l’issue d’une concertation avec les principales organisations syndicales et patronales, la Commission a modifié le champ d’application de l’autorisation unique n°7 (AU-007) portant sur la mise en œuvre de traitements reposant sur la reconnaissance du contour de la main.
Par délibération du 20 septembre 2012 (n°2012-322), la finalité de contrôle des horaires a été exclue du champ de cette autorisation unique. L’AU-007 en vigueur vise uniquement les finalités de « contrôle d’accès à l’entrée et dans les locaux limitativement identifiés de l’organisme faisant l’objet d’une restriction de circulation ; le contrôle de l’accès au restaurant d’entreprise [… et] le contrôle d’accès des visiteurs » (article 1er).
Le recours à un dispositif biométrique pour le contrôle des horaires exige que le responsable de traitement effectue auprès de la CNIL une demande d’autorisation spécifique sur le fondement de l’article 25-I-8° de la loi du 6 janvier 1978 modifiée.
Une telle demande d’autorisation doit s’inscrire dans le cadre de circonstances exceptionnelles fondées sur un impératif spécifique de sécurité, comme rappelé par la Commission lors de la modification de l’AU-007, qui seraient susceptibles de justifier, notamment, la proportionnalité du recours à un dispositif biométrique ayant pour finalité le contrôle des horaires des salariés.
Le traitement automatisé de données à caractère personnel que la société IQ CONCEPT SAS souhaite mettre en œuvre repose sur un dispositif biométrique de reconnaissance du contour de la main ayant pour finalité le contrôle des horaires. Elle justifie sa démarche de recourir à ce dispositif biométrique par le caractère sécurisant pour l’entreprise et les collaborateurs et pour éviter le risques d’erreurs.
Selon la société, le dispositif biométrique présente l’avantage d’être plus simple à mettre en oeuvre que les autres dispositifs.
La Commission insiste sur le fait qu’une donnée biométrique constitue un élément d’identité irrévocable dont la diffusion non maitrisée, ou accidentelle, peut avoir des conséquences irrémédiables pour les personnes. En effet, à la différence de tout autre identifiant (code, mot de passe, autre), la donnée biométrique, qui est permanente et propre à chaque personne physique, ne peut être modifiée. Ainsi, dans l’hypothèse d’un accès non autorisé à cette donnée, celle-ci est réputée compromise de manière définitive, c’est-à-dire ne permettant plus un contrôle fiable de l’identité des personnes concernées.
En l’état actuel de la technique, il apparaît que le contour de la main ne présente pas la caractéristique de pouvoir être capturé à l’insu des personnes concernées. Toutefois, la Commission rappelle que demeure un risque sérieux d’accès non autorisé aux données ou de mauvais usage des données biométriques personnelles des utilisateurs.
Concrètement, outre une possible faille de sécurité ou un détournement de finalité par le responsable de traitement ou un tiers, le contour de la main pourrait être utilisé pour usurper l’identité d’une personne, notamment pour frauder un autre dispositif reposant sur la reconnaissance du contour de la main.
Conformément à l’article 1er de la loi du 6 janvier 1978 modifiée, la Commission rappelle que la mise en place d’un tel dispositif ne doit « porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». En outre, il convient d’examiner ledit traitement au regard des principes relatifs à la protection des données à caractère personnel, et notamment de l’article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
En l’espèce, la Commission constate qu’aucune circonstance exceptionnelle n’est démontrée et que le dispositif biométrique de contrôle des horaires des salariés ne résulte pas de la mise en œuvre de mesures de sécurité telles qu’identifiées par une analyse de risques.
Au regard de l’ensemble de ces éléments, la Commission observe que le traitement envisagé ne relève pas d’une finalité de sécurité justifiant un recours impératif à la biométrie.
En outre, concernant la demande qui lui a été soumise, la Commission relève particulièrement l’impossibilité pour les personnes concernées de recourir à un dispositif alternatif au dispositif biométrique.
En conséquence, elle considère que le recours exclusif à un dispositif biométrique de reconnaissance du contour de la main n’apparait ni adapté ni proportionné à la finalité poursuivie au sens de l’article 6-3° précité.
Dans ces conditions, la Commission n’autorise pas la société IQ CONCEPT SAS à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité reposant sur un dispositif biométrique de reconnaissance du contour de la main et ayant pour finalité le contrôle des horaires.
La Présidente
I. FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 17 avril 2015