DELIBERATION n°2016-212 du 7 juillet 2016

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2016-212 du 7 juillet 2016
Délibération n° 2016-212 du 7 juillet 2016 autorisant l’association Natural Security Alliance à mettre en œuvre un système d’authentification biométrique basé sur la détention d’un ordiphone ou d’un support individuel contenant une application, placé sous le contrôle des personnes concernées, aux fins d’accès à des services.
Etat: VIGUEUR

(Demande d’autorisation n° 1941025)
La Commission nationale de l'informatique et des libertés,
Saisie par l’association Natural Security Alliance d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un système d’authentification par reconnaissance des empreintes digitales, reposant sur la détention d’un ordiphone ou d’un support individuel contenant une application, placé sous le contrôle exclusif des personnes concernées, aux fins d’accès à des services ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, notamment son article 87 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-8° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Après avoir entendu M. François PELLEGRINI, commissaire, en son rapport, et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Natural Security Alliance est une association loi 1901 dont les membres sont issus du secteur de la distribution et du monde bancaire. L’objet social de l’association est notamment de « développer et d’adopter un standard et des spécifications, ainsi que des cas d’usage en relation avec l’authentification basée sur les données biométriques stockées sur un support personnel et utilisant une technologie de communication sans fil moyenne distance ». Natural Security Alliance a développé dans ce cadre un dispositif d’authentification biométrique par reconnaissance des empreintes digitales, supporté par une application à télécharger sur les appareils mobiles.
Cette méthode d’authentification peut être associée aux fournisseurs de service choisis par la personne concernée et ayant intégré cette possibilité dans leurs dispositifs d’authentification.
L’authentification de la personne concernée est réalisée au moyen de lecteurs biométriques mis à disposition par Natural Security Alliance chez des opérateurs disposant de points d’accueil physique pour effectuer l’enrôlement et l’authentification. Ces lecteurs sont directement reliés aux serveurs dont Natural Security Alliance a la responsabilité en tant qu’opérateur d’authentification.
L’opération d’authentification est réalisée par une comparaison positive entre le doigt posé par la personne sur le lecteur biométrique et le gabarit contenu dans l’appareil mobile de la personne. Ce gabarit de référence n’est pas stocké dans les serveurs de Natural Security Alliance ou dans ceux des fournisseurs de service recourant à ce système d’authentification. Les fournisseurs de services concernés par l’authentification ne reçoivent qu’une confirmation de l’authentification positive ainsi qu’un fichier de preuve afférent.
L’association Natural Security Alliance a la qualité de responsable du traitement de données biométriques faisant l’objet de la présente autorisation, en ce qu’elle détermine les moyens et la finalité de sa mise en œuvre.
Les sociétés permettant aux utilisateurs d’accéder à leurs services au moyen du dispositif d’authentification fourni par le responsable de traitement, sur décision de la personne concernée, ont la qualité de tiers au traitement biométrique.
La Commission observe que le projet de traitement automatisé soumis par Natural Security Alliance prévoit le recours à des données biométriques nécessaires au contrôle de l’identité des personnes. Il relève, à ce titre, du 8° du I de l’article 25 de la loi du 6 janvier 1978 modifiée et doit dès lors être autorisé.
Sur la finalité du traitement :
La finalité du traitement biométrique de Natural Security Alliance est de fournir un service d’authentification utilisable pour plusieurs services, ne nécessitant pas de gestion de la donnée biométrique en base et préservant la maîtrise de la personne concernée sur son gabarit.
La Commission relève que le service d’authentification biométrique, objet de la présente autorisation, est une méthode d’authentification multi-facteurs basée sur la détention d’un appareil mobile ou d’un support individuel dédié fourni par le responsable du traitement, contenant l’application d’authentification biométrique.
Ces supports permettent de stocker un identifiant technique chiffré, ainsi qu’un gabarit biométrique créé à partir des empreintes digitales de la personne concernée. Ce dernier n'est pas stocké en clair sur le support : il est tout d'abord chiffré, puis lié, par une seconde opération cryptographique, à un jeton de certification (« token ») fourni par Natural Security Alliance.
Le jeton de certification peut et doit être renouvelé à intervalles réguliers, chaque nouveau jeton remplaçant le précédent de façon chaînée. Cette technique permet de renouveler régulièrement la validité du gabarit chiffré, en substituant le nouveau jeton au précédent, sans avoir à déchiffrer le gabarit. Le jeton peut aussi être révoqué par Natural Security Alliance en cas de déclaration de vol de l'appareil, afin qu'aucune utilisation ultérieure ne puisse être faite du gabarit chiffré.
L’application d’authentification biométrique est utilisée pour communiquer au moyen d’une technologie sans contact avec les terminaux biométriques de lecture-comparaison distribués par Natural Security Alliance aux opérateurs tiers sous-traitants, disposant de points d’accueil physiques. Les données techniques produites lors de l’authentification sont transférées au serveur du responsable de traitement, qui transmet aux fournisseurs de service et aux personnes concernées les preuves d’authentification pour chaque transaction.
L’utilisation du service d’authentification suppose l’enrôlement de deux empreintes digitales, puis l’association au dispositif d’authentification des services choisis par la personne concernée.
Pour s’enrôler, la personne télécharge l’application de Natural Security Alliance sur son appareil, crée un compte utilisateur et renseigne son adresse électronique. Elle se rend ensuite dans un point d’accueil physique, géré par l’un des opérateurs sous-traitants disposant de terminaux biométriques habilités par Natural Security Alliance.
Lors de cette phase, l’opérateur est authentifié et l’appareil mobile est apparié au terminal de lecture-comparaison. Les gabarits biométriques correspondant à deux empreintes digitales sont créés. Une fois validé, le gabarit ainsi collecté est chiffré, puis chaîné au premier jeton de certification révocable. Celui-ci sera par la suite renouvelé à intervalles réguliers, via un procédé sécurisé. L’information biométrique brute collectée par le lecteur est immédiatement supprimée. Le gabarit chiffré et chaîné (« tokenisé ») est ensuite envoyé, par communication sans contact, sur l’appareil de la personne concernée, pour y être conservé à sa main.
Une fois l’enrôlement effectué, la personne concernée peut associer à l’application Natural Security Alliance les services dont elle est cliente et auxquels elle souhaite accéder par authentification biométrique.
L’association peut être réalisée soit en face à face dans un point d’enrôlement, soit directement depuis l’application biométrique de Natural Security Alliance, soit depuis une interface proposée par le service concerné. L’association nécessite une authentification double de l’utilisateur, d’une part, pour se connecter au compte de son application d’authentification biométrique et, d’autre part, pour s’identifier auprès du fournisseur qu’elle souhaite voir associer.
Enfin, pour s’authentifier, la personne concernée place son appareil à proximité d’un lecteur biométrique fourni par Natural Security Alliance pour que les deux appareils s’authentifient mutuellement, puis pose son doigt sur le lecteur. Le gabarit chiffré et chaîné stocké dans l’appareil mobile est envoyé par canal sécurisé au terminal. Celui-ci annule le chiffrement lié au jeton, grâce au jeton d'identification fourni en ligne au terminal par Natural Security Alliance, puis déchiffre le gabarit, et réalise la comparaison. L’empreinte recueillie est alors aussitôt détruite, une fois la comparaison effectuée. En cas de comparaison positive, seul un jeton est envoyé au serveur central de Natural Security Alliance pour attester qu’il s’agit bien de la bonne version du gabarit transformé et confirmer la réussite de l’opération auprès du fournisseur de service associé.
La Commission constate que la finalité poursuivie par le responsable de traitement est légitime.
Sur le fondement juridique du traitement :
Le traitement d’authentification biométrique a pour base juridique, conformément à l’article 7 de la loi du 6 janvier 1978, le consentement de la personne concernée, qui choisit de recourir à ce mode d’authentification.
Le choix de recourir au dispositif biométrique de Natural Security Alliance et de l’associer à un ou des services appartient à la seule personne concernée.
La Commission rappelle que le consentement des personnes concernées ne sera toutefois pas reconnu comme libre si l’authentification biométrique est le seul dispositif d’authentification disponible pour accéder aux services de son choix. La personne concernée doit donc systématiquement disposer d’une alternative non contraignante à l’authentification biométrique.
Sur la nature des données traitées :
Les données collectées dans le cadre du service d’authentification biométrique sont :
les gabarits d’empreintes digitales de référence transformés directement après leur collecte en gabarits chiffrés et chaînés par jeton, qui seront stockés exclusivement sur l’appareil mobile de la personne concernée ;
les identifiants techniques générés aléatoirement lors de la création d’un compte utilisateur depuis l’application de Natural Security Alliance ; ces identifiants techniques sont :
associés aux gabarits chiffrés et chaînés (« tokenisés ») de la personne dans son appareil mobile ;
associés à l’identifiant interne du fournisseur du service accédé, dans les serveurs de Natural Security Alliance.
l’adresse électronique de la personne concernée collectée, à des fins de gestion de l’assistance « après-vente » du service d’authentification ;
le pseudonyme et le mot de passe nécessaire à la gestion du compte d’authentification biométrique ;
les gabarits d’empreintes digitales présentés pour comparaison lors de l’authentification, lesquels sont immédiatement supprimés après la comparaison.
Le fichier de preuves adressé par Natural Security Alliance aux fournisseurs de service associés ne contient que l’identifiant unique du fournisseur de service, la date de l’authentification, le numéro d’identifiant de l’utilisateur généré par Natural Security Alliance, et celui généré par le fournisseur de service ainsi que les données fournies par le terminal de contrôle.
La Commission considère que ces données sont pertinentes, adéquates et non excessives au regard de la finalité poursuivie.
Sur la durée de conservation des données :
Les gabarits chiffrés et chaînés ne sont conservés que dans l’appareil de la personne concernée. Ils sont automatiquement supprimés lors de la suppression du compte utilisateur de l’application et peuvent être effacés à tout moment par la personne concernée.
Natural Security Alliance ne conserve que l’identifiant technique ainsi que l’adresse électronique de la personne concernée, pour la durée d’utilisation du service d’authentification.
Sur les destinataires des données :
Les identifiants techniques et adresses électroniques sont traitées par Natural Security Alliance.
Le gabarit biométrique chiffré et chaîné n’est conservé que par la personne concernée dans son appareil mobile.
Aucun responsable de traitement tiers n’est rendu destinataire des données traitées dans le cadre du service d’authentification biométrique, à l’exception du fichier de preuve adressé aux fournisseurs de services associés.
Sur l'information et les droits des personnes :
Les personnes concernées disposent de plusieurs outils garantissant la maîtrise de leur gabarit et la possibilité d’exercer leurs droits.
Par l’intermédiaire de l’application ou depuis un point d’accueil tenu par opérateur habilité ou, encore dans certains cas, via une interface web, les personnes peuvent ainsi décider :
d’activer ou de désactiver l’utilisation de l’authentification biométrique pour un fournisseur de service donné ;
de bloquer temporairement les fonctions d’authentification et de lever ce blocage ;
de supprimer définitivement le service d’authentification et les données associées.
Sur la sécurité des données et la traçabilité des actions :
NSA a intégré lors de la conception du service une série de mesures de nature à limiter les risques pour la vie privée des utilisateurs, notamment en matière de détournement de la donnée biométrique et d’usurpation d’identité.
Ainsi, les données biométriques transformées sont uniquement stockées sur l’appareil placé sous le contrôle de la personne concernée et répondent au principe de minimisation des données.
Les images brutes des données biométriques sont supprimées immédiatement après l’enrôlement ou la collecte de la donnée lors de la comparaison pour authentification. De même, le gabarit n’est pas conservé sur le lecteur ou en base après enrôlement ou comparaison.
De plus, le gabarit conservé sur l’appareil mobile est non seulement chiffré mais également chaîné par un second moyen cryptographique dépendant du responsable de traitement, rendant possible la révocation du gabarit et difficile toute réutilisation ultérieure du gabarit en cas d’interception malveillante.
Par ailleurs, l’intégrité du gabarit stocké dans l’appareil mobile est vérifiée en s’assurant qu’il est bien associé à l’identifiant technique d’origine.
Enfin, lors de l’acte d’authentification, le transfert du gabarit vers le terminal de lecture-comparaison est assuré par un processus d’authentification entre appareils connectés et par la mise en place d’un canal sécurisé chiffré.
Dans ces conditions, la Commission autorise l’association Natural Security Alliance à mettre en œuvre un système d’authentification biométrique basé sur la détention d’un ordiphone ou d’un support individuel contenant une application, placé sous le contrôle des personnes concernées, aux fins d’accès à des services.
La Présidente
Isabelle FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 9 septembre 2016