DELIBERATION n°2011-040 du 10 février 2011

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2011-040 du 10 février 2011
Délibération n°2011-040 du 10 février 2011 autorisant la mise en œuvre par la Commission nationale de l’informatique et des libertés d’un traitement automatisé de données à caractère personnel reposant sur la reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l’accès aux ordinateurs portables mis à la disposition de certains de ses agents (demande d’autorisation 1472989).
Etat: VIGUEUR

La Commission nationale de l'informatique et des libertés,
Vu la Convention n°108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 25-I-8° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, modifié par le décret n°2007-451 du 25 mars 2007 ;
Après avoir entendu M. Emmanuel de GIVRY, commissaire en son rapport, et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations.
En application de l’article 25-I-8° de la loi du 6 janvier 1978 modifiée en août 2004, la Commission nationale de l’informatique et des libertés s’est saisie d’un traitement de données à caractère personnel reposant sur la reconnaissance des empreintes digitales et ayant pour finalité le contrôle de l’accès aux ordinateurs portables mis à la disposition de certains de ses agents.
Formule les observations suivantes :
Le dispositif choisi par la Commission nationale de l'informatique et des libertés a pour objectif de renforcer les conditions d’accès aux postes informatiques portables remis aux directeurs, chefs de service, agents des services des contrôles et de l’expertise qui contiennent des informations sensibles relatives à leur activité professionnelle. Il doit permettre de garantir la sécurité et la confidentialité de ces données.
Les ordinateurs portables des personnes concernées comporteront un lecteur biométrique intégré. Le dispositif d’identification biométrique sera utilisé en complément du système d’identification classique reposant sur la saisie d’un mot de passe et d’un identifiant.
La vérification s’effectuera par comparaison entre le doigt apposé par l’intéressé sur le lecteur et le gabarit de l’empreinte digitale préalablement enregistré dans l’ordinateur portable. La procédure d’enrôlement ainsi que la reconnaissance de l’empreinte digitale lors du contrôle d’accès à l’ordinateur portable s’effectueront localement. A aucun moment, le gabarit de l’empreinte digitale ne circulera sur un réseau.
Les personnes concernées seront informées par la remise d’une note d’information. Le gabarit biométrique ne sera conservé que le temps pendant lequel l’ordinateur portable sera confié à la personne concernée.
Compte tenu de ce qui précède et dans la mesure où le gabarit de l’empreinte digitale est chiffré et uniquement enregistré dans l’ordinateur portable exclusivement détenu par la personne concernée et qu’il ne sera à aucun moment amené à transiter sur un quelconque réseau, la Commission considère que la mise en œuvre d’un traitement reposant sur la reconnaissance de l’empreinte digitale apparaît, dans ces conditions et en l’état actuel des connaissances sur la technologie utilisée, adaptée et proportionnée à la finalité assignée au dispositif.
Les droits d’accès et de rectification s’exerceront auprès du correspondant informatique et libertés de la Commission nationale de l'informatique et des libertés, 8 rue Vivienne, CS 30223, 75083 Paris cedex 02.
Les catégories de données à caractère personnel enregistrées seront :

  • le gabarit de l’empreinte digitale de deux doigts ;
  • l’identifiant et le mot de passe de l’utilisateur.

Les destinataires des informations seront, dans la limite de leurs attributions et pour la poursuite de la finalité précitée, les personnes habilitées du service informatique de la Commission nationale de l'informatique et des libertés.
Dans ces conditions, la Commission autorise la mise en œuvre du traitement de données à caractère personnel présenté.

Le président
Alex TURK



Nature de la délibération: Autorisation
Date de la publication sur legifrance: 14 octobre 2015