DELIBERATION n°2015-140 du 7 mai 2015

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2015-140 du 7 mai 2015
Délibération n° 2015-140 du 7 mai 2015 refusant la mise en œuvre par la CITIA (CITE DE L’IMAGE EN MOUVEMENT) d'un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle des horaires.
Etat: VIGUEUR

(demande d’autorisation n° 1839417)
La Commission nationale de l'informatique et des libertés,
Saisie par la CITIA d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle des horaires ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-8° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Sur la proposition de Mme Marie-France MAZARS, commissaire, et après avoir entendu Mme Catherine POZZO di BORGO, commissaire adjoint du Gouvernement, en ses observations,
Formule les observations suivantes :
Afin de contrôler les horaires de travail de ses salariés et de ses stagiaires, la CITIA (CITE DE L’IMAGE EN MOUVEMENT), établissement public de coopération culturelle, a saisi la Commission nationale de l’informatique et des libertés (CNIL) d’un traitement de données comportant un dispositif biométrique de reconnaissance de l’empreinte digitale.
A titre liminaire, il convient de rappeler qu’à l’issue d’une concertation avec les principales organisations syndicales et patronales, la Commission a modifié le champ d’application de l’autorisation unique n°7 (AU-007) portant sur la mise en œuvre de traitements reposant sur la reconnaissance du contour de la main.
Par délibération du 20 septembre 2012 (n°2012-322), la finalité de contrôle des horaires a été exclue du champ de cette autorisation unique. L’AU-007 en vigueur vise uniquement les finalités de « contrôle d’accès à l’entrée et dans les locaux limitativement identifiés de l’organisme faisant l’objet d’une restriction de circulation ; le contrôle de l’accès au restaurant d’entreprise [… et] le contrôle d’accès des visiteurs » (article 1er).
Le recours à un dispositif biométrique pour le contrôle des horaires exige que le responsable de traitement effectue auprès de la CNIL une demande d’autorisation spécifique sur le fondement de l’article 25-I-8° de la loi du 6 janvier 1978 modifiée.
Une telle demande d’autorisation doit s’inscrire dans le cadre de circonstances exceptionnelles fondées sur un impératif spécifique de sécurité, comme rappelé par la Commission lors de la modification de l’AU-007, qui seraient susceptibles de justifier, notamment, la proportionnalité du recours à un dispositif biométrique ayant pour finalité le contrôle des horaires des salariés.
Le traitement automatisé de données à caractère personnel que la CITIA souhaite mettre en œuvre repose sur un dispositif biométrique de reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle des horaires.
Selon la CITIA, le dispositif biométrique présente le double avantage d’être peu coûteux et facile d’utilisation et d’installation.
La Commission insiste sur le fait qu’une donnée biométrique constitue un élément d’identité irrévocable dont la diffusion non maîtrisée, ou accidentelle, peut avoir des conséquences irrémédiables pour les personnes. En effet, à la différence de tout autre identifiant (code, mot de passe, autre), la donnée biométrique, qui est permanente et propre à chaque personne physique, ne peut être modifiée. Ainsi, dans l’hypothèse d’un accès non autorisé à cette donnée, celle-ci est réputée compromise de manière définitive, c’est-à-dire ne permettant plus un contrôle fiable de l’identité des personnes concernées.
En l’état actuel de la technique, il apparaît que l’empreinte digitale présente la caractéristique de pouvoir être capturée à l’insu des personnes concernées. Dès lors, la Commission rappelle que demeure un risque sérieux de détournement de ces données, d’accès non autorisé aux données ou de mauvais usage des données biométriques personnelles des utilisateurs.
Concrètement, outre une possible faille de sécurité ou un détournement de finalité par le responsable de traitement ou un tiers, l’empreinte digitale pourrait être utilisée pour usurper l’identité d’une personne, notamment pour frauder un autre dispositif reposant sur la reconnaissance de l’empreinte digitale.
Conformément à l’article 1er de la loi du 6 janvier 1978 modifiée, la Commission rappelle que la mise en place d’un tel dispositif ne doit « porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». En outre, il convient d’examiner ledit traitement au regard des principes relatifs à la protection des données à caractère personnel, et notamment, de l’article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
En l’espèce, la Commission constate qu’aucune circonstance exceptionnelle n’est démontrée et que le dispositif biométrique de contrôle des horaires des salariés et des stagiaires ne résulte pas de la mise en œuvre de mesures de sécurité telles qu’identifiées par une analyse de risques.
Au regard de l’ensemble de ces éléments, la Commission observe que le traitement envisagé ne relève pas d’une finalité de sécurité justifiant un recours impératif à la biométrie.
En outre, concernant la demande qui lui a été soumise, la Commission relève particulièrement l’impossibilité pour les personnes concernées de recourir à un dispositif alternatif au dispositif biométrique.
En conséquence, elle considère que le recours exclusif à un dispositif biométrique de reconnaissance de l’empreinte digitale n’apparait ni adapté ni proportionné à la finalité poursuivie au sens de l’article 6-3° précité.
Dans ces conditions, la Commission n’autorise pas la CITIA (CITE DE L’IMAGE EN MOUVEMENT) à mettre en œuvre un traitement de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle des horaires.
La Présidente
I. FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 2 juillet 2015