DELIBERATION n°2015-432 du 10 décembre 2015

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2015-432 du 10 décembre 2015
Délibération n° 2015-432 du 10 décembre 2015 autorisant la société Aéroports de Paris à mettre en œuvre un traitement automatisé de données à caractère personnel expérimental ayant pour finalité l’identification biométrique des passagers volontaires en entrée et sortie de salle d’embarquement.
Etat: VIGUEUR

(Demande d’autorisation n° 1866205)
La Commission nationale de l'informatique et des libertés,
Saisie par la société Aéroports de Paris d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel expérimental ayant pour finalité l’identification biométrique des passagers volontaires en entrée et sortie de salle d’embarquement ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-8° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Conformément à l’article 25-I-8° de la loi du 6 janvier 1978 modifiée, la société Aéroportss de Paris (ADP) a saisi la Commission nationale de l’informatique et des libertés d’une demande d’autorisation relative à un traitement automatisé de données à caractère personnel expérimental ayant pour finalité l’identification biométrique des passagers volontaires en entrée et sortie de salle d’embarquement. La mise en œuvre de ce dispositif permettra de tester la fiabilité de la reconnaissance faciale et de la reconnaissance de l’empreinte digitale lors du contrôle des passagers en salle d’embarquement, ainsi que l’impact de ce contrôle sur la fluidité des parcours et le confort des usagers concernés. L’expérimentation est menée au niveau de la salle d’embarquement du vol entre Paris et New-York, opéré par la compagnie Open Skies, depuis l’Aéroports d’Orly Ouest.
La société ADP souhaite mettre en œuvre cette expérimentation dénommée « SAGA » pour « Secured Automatic Gate for Airports » pendant une durée totale de sept mois, comptant trois mois pour la mise en œuvre de la reconnaissance biométrique, suivis d’une période de quatre mois d’analyse des données collectées à cette occasion.
Le protocole d’expérimentation consiste à effectuer une collecte des données biométriques de l’empreinte digitale (pour une partie seulement des passagers) et du visage des participants volontaires, au moyen d’un lecteur d’empreinte et d’une caméra placés en entrée et en sortie de la salle d’embarquement. Les données capturées sont immédiatement modélisées sous forme de gabarits, lesquels sont transmis et conservés temporairement sur un serveur dédié à l’expérimentation, pour effectuer la comparaison et exploiter immédiatement les résultats.
La collecte de données est effectuée auprès d’environ 700 passagers du vol Paris-New-York. Cette expérimentation sera basée sur le volontariat.
La Commission relève que la demande d’expérimentation qui lui est soumise entre dans le champ de l’article 25-I-8° de la loi du 6 janvier 1978 modifiée dans la mesure où elle permettra à Aéroports de Paris de mettre en œuvre un traitement pour réaliser une analyse biométrique d’éléments corporels de passagers, aux fins de contrôle d’identité.
Sur la finalité du traitement :
Dans le cadre des missions définies dans un cahier des charges fixé par le décret n°2005-828 du 20 juillet 2005, Aéroports de Paris est en charge de la gestion, de l’exploitation, de l’aménagement des plates-formes aéroportuaires, comprenant notamment les aéroports de Paris-Orly et de Paris Charles de Gaulle.
ADP doit à ce titre fournir les services et infrastructures nécessaires au transport aérien, à la sûreté et à la sécurité des passagers, conformément à la règlementation applicable. A la demande des pouvoirs publics, ADP peut être amené à intégrer des sas de contrôle de l’identité des passagers, notamment au niveau du contrôle aux frontières ou des salles d’embarquement. La société doit également veiller à ce que la mise en place de ces contrôles ne nuise pas à la fluidité du parcours des passagers.
Le dispositif de reconnaissance faciale et de l’empreinte digitale SAGA est mis en œuvre à titre expérimental pour mesurer la fiabilité et l’impact des dispositifs dans un environnement aéroportuaire. Le dispositif ne pourra pas être pérennisé à la demande d’ADP, l’intégration de contrôle aux frontières par reconnaissance biométrique relevant de la responsabilité de l’Etat et devant faire l’objet d’un décret en Conseil d’Etat, pris après avis motivé et publié de la Commission Nationale de l’Informatique et des Libertés.
Cette expérimentation portant sur deux biométries permettra d’évaluer les forces et les faiblesses respectives de la reconnaissance faciale et de la reconnaissance de l’empreinte digitale, dans un environnement aéroportuaire contrôlé, en entrée et en sortie de salle d’embarquement. L’objectif est également d’évaluer le ressenti des passagers par rapport à la mise en place de ces deux méthodes.
La Commission considère que la finalité de cette expérimentation est déterminée, légitime et explicite.
Sur la nature des données traitées :
Les données à caractère personnel collectées et traitées temporairement, lors du passage des passagers volontaires, sont les nom et prénom des personnes concernées ainsi que l’image de leur visage et d’une empreinte digitale, lesquelles sont immédiatement converties en gabarits biométriques chiffrés. Les images du visage et de l’empreinte digitale ne sont en aucun cas conservées dans le serveur une fois le gabarit produit.
Les personnes concernées donnent, préalablement à leur participation à l’expérimentation, leur consentement libre, spécifique et informé, en signant un formulaire sur support papier après y avoir inscrit leurs nom et prénom.
Un identifiant aléatoire sera rattaché à chaque passage d’un participant à l’expérimentation.
La Commission souligne que les données seront stockées dans deux bases distinctes : les données d’état civil des participants ainsi que leurs gabarits biométriques seront stockées dans un serveur le temps d’effectuer la reconnaissance biométrique. L’identifiant aléatoire ainsi que les informations qualitatives et quantitatives rattachés à un passage sont ensuite transmis dans une seconde base, pour analyse. En application du principe de minimisation des données, les informations stockées après le passage de la personne ne permettent pas de l’identifier directement ou de lier directement les données biométriques avec l’identité de la personne.
Elle considère que ces données sont pertinentes et proportionnées au regard de la finalité poursuivie.
Sur la durée de conservation des données :
Les données d’état civil (nom et prénom) ainsi que les gabarits biométriques du visage et de l’empreinte digitale ne sont conservées que le temps du passage de la personne concernée par les sas d’entrée et de sortie dédiés à l’expérimentation et au maximum quatre heures après le départ du vol emprunté par les participants concernés.
L’identifiant aléatoire ainsi que les informations quantitatives et qualitatives relatives au passage sont conservées quatre mois après la fin de l’expérimentation sur le terrain, pour être analysées.
La Commission considère que cette durée de conservation est conforme aux exigences de l’article 6-5° de la loi du 6 janvier 1978 modifiée.
Sur les destinataires des données :
Les gabarits et données d’état civil ne sont accessibles qu’au chef du projet, le temps de leur conservation, à savoir de l’enrôlement de la personne concernée jusqu’à quatre heures après son départ.
Les données conservées à l’issue de l’expérimentation (numéro aléatoire et résultats de l’expérimentation) seront transmises dans une base dédiée à la consolidation de l’expérience et ne seront accessibles qu’aux membres du projet.
Sur l'information des personnes :
Les passagers seront informés de l’existence de l’expérimentation et de la possibilité d’y participer, sur la base du volontariat, par du personnel d’ADP placé à l’entrée de la salle d’embarquement. Le recueil de leur consentement sera effectué par écrit, via la signature d’un formulaire spécifique les informant notamment de leurs droits, de la procédure à suivre pour les exercer et de la faculté de revenir à tout moment sur leur consentement.
Les personnes ayant accepté de participer à l’expérimentation pourront à tout moment, et sans motif, mettre fin à leur participation.
Sur les droits d'accès, de rectification et d'opposition des personnes :
Les personnes concernées sont informées qu’elles peuvent exercer leurs droits d’accès, d’opposition et de rectification en adressant une demande à l’adresse électronique précisé sur le formulaire de recueil du consentement.
Concernant l’exercice du droit au retrait du consentement et du droit d’opposition, la Commission observe que la personne concernée peut à tout moment demander la suppression de ses données en cours d’expérimentation, pendant la période de conservation de ses données, à savoir de son enrôlement jusqu’à la suppression de ses gabarits, nom et prénom, au maximum quatre heures après le décollage de leur vol.
La Commission considère que ces modalités d’exercice des droits d’accès, de rectification et de suppression sont conformes aux dispositions des articles 38 à 40 de la loi du 6 janvier 1978 modifiée.
Sur la sécurité des données et la traçabilité des actions :
Les nom, prénom, numéro aléatoire et gabarits biométriques des personnes seront conservés sur un serveur isolé et dédié à l’expérimentation. Les gabarits biométriques seront générés localement par les capteurs et envoyés directement sur le serveur, où ils seront conservés chiffrés. Ces gabarits sont supprimés au maximum quatre heure après le départ des personnes concernées.
Le réseau informatique utilisé pour l’expérimentation est celui d’ADP, protégé par mot de passe et compartimenté par filtrage, et les flux de données entre les capteurs biométriques et le serveur SAGA seront chiffrés.
La Commission rappelle que seuls les flux réseaux strictement nécessaires devront être autorisés entre le serveur SAGA, les capteurs biométriques et les postes de travail utilisés pour l’expérimentation, tous les autres flux étant bloqués par défaut.
Les systèmes biométriques, sans écran ni clavier, sont intégrés dans les sas et protégés dans des compartiments fermés. La zone aéroportuaire fait par ailleurs l’objet d’une vidéosurveillance étendue.
Des profils d’habilitation définissent les fonctions et informations accessibles aux utilisateurs ; ils seront attribués aux seules personnes autorisées, pour une durée limitée, par le chef de projet SAGA. Les interventions d’installation et de maintenance des matériels par le fournisseur seront effectuées avec des comptes d’accès spécifiques, depuis le poste de travail du chef de projet SAGA et sous sa supervision ; de même pour l’exploitation courante du système.
En outre, afin de limiter les risques de fuites de données, les opérations de maintenance ne seront autorisées que dans les plages horaires où le système ne contient pas ou plus de données nominatives ou biométriques, sachant que celles-ci sont automatiquement effacées quatre heures après le départ du vol quotidien. Les sauvegardes des données relatives aux passages nécessaires pour établir les statistiques à l’issue de l’expérimentation seront chiffrées.
L’authentification des utilisateurs est assurée par des mots de passe respectant les recommandations de la Commission. Les actions de création, mise à jour et suppression des données seront journalisées et conservées le temps de l’expérimentation.
La Commission recommande que les traces soient isolées et protégées sur un système distinct, et que les habilitations pour y accéder soient limitées aux seuls responsables du projet SAGA.
En complément de ces mesures, la Commission recommande que l’ensemble des intervenants du projet SAGA, qu’ils soient personnels d’ADP ou du fournisseur, signent un engagement de confidentialité des données recueillies et traitées par le système.
Enfin, concernant l’exploitation statistique des données de l’expérimentation, la Commission recommande de réduire le risque de ré-identification des personnes en limitant les interrogations ciblées et le niveau de détail des rapports proposés par le système.
Sur la présentation d’un bilan :
La Commission prend acte que, conformément à ses exigences, ADP s’engage à produire, cinq mois après le terme de l’expérimentation, un bilan reprenant :
1/ une description des conditions de mise en œuvre technique, juridique et opérationnelle du dispositif expérimenté (courte description et tableau statistique récapitulatif, précisant par exemple la population concernée en indiquant le taux de participation, l’acceptabilité, d’éventuels dysfonctionnements liés à certaines catégories de personnes et la population résiliente à l’enrôlement) ;
2/ des éléments de conclusion généraux relatifs aux connaissances et aux perspectives d’exploitation technique, économique ou sociétale de ces apports ;
3/ une présentation détaillée des enjeux spécifiques relatifs à la protection des données (risques et mesures adoptées pour les limiter, synthèse relative au respect des dispositions de la loi du 6 janvier 1978 modifiée) ;
4/ les suites qui sont envisagées par le responsable de traitement sur la base du bilan effectué : abandon du projet, demande de nouvelle expérimentation, demande d’autorisation de mise en œuvre à titre permanent.
Dans ces conditions, la Commission autorise ADP à mettre en œuvre un traitement expérimental ayant pour finalité l’identification biométrique des passagers volontaires en entrée et sortie de salle d’embarquement.
La Commission rappelle que la présente autorisation n’implique en aucune manière la délivrance d’une autorisation pérenne.
La Présidente
Isabelle FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 4 février 2016