• Home  / 
  • DELIBERATION 2007-296

DELIBERATION 2007-296

By Thiébaut Devergranne / 5 years ago

(demande d’autorisation 1226906)
La Commission nationale de l'informatique et des libertés,
Vu la Convention n°108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel, notamment son article 25-8° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié par le décret n°2007-451 du 25 mars 2007 ;
Vu la demande d’autorisation présentée par le Groupe des Ecoles des Télécommunications (GET) concernant la mise en œuvre d’un traitement automatisé de données à caractère personnel ayant pour finalité principale l’évaluation d’algorithmes de reconnaissance de diverses données biométriques ;
Après avoir entendu M. Philippe LEMOINE, commissaire en son rapport et Mme Pascale COMPAGNIE, commissaire du Gouvernement, en ses observations.
Formule les observations suivantes :
La Commission nationale de l’informatique des libertés a été saisie par le Groupe des Ecoles des Télécommunications (GET) d’une demande d’autorisation relative à la mise en œuvre d’un traitement automatisé de données à caractère personnel ayant pour finalité principale l’évaluation d’algorithmes de reconnaissance de diverses données biométriques.
Il y a lieu de faire application des dispositions prévues à l’article 25-8° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes.
Le projet présenté par le GET s’intitule « BioSecure » et s’appuie sur un « réseau d'excellence européen » coordonné par l’Institut National des Télécommunications (INT). Il regroupe ainsi 30 partenaires internationaux et fédère les équipes européennes actuellement impliquées dans la recherche en biométrie. Ce projet de recherche européen est financé par le 6ème programme cadre de recherche.
Le programme « BioSecure » a pour finalité principale, « la promotion et l’intégration de la recherche en biométrie pour des applications de sécurité au niveau européen ». C’est dans ce contexte que les différents partenaires souhaitent constituer une base de données biométriques « multimodale » qui sera utilisée pour effectuer des mesures de performance de différents algorithmes de reconnaissance.
L’évaluation portera sur des algorithmes de reconnaissance :

  • du visage en deux dimension ;
  • des empreintes digitales ;
  • de la forme de la main ;
  • de la signature manuscrite ;
  • de l’iris ;
  • du visage parlant (image et son).

Des algorithmes dits de « fusion multimodale », c’est à dire permettant la reconnaissance d’une personne à partir de l’analyse simultanée de plusieurs caractéristiques biométriques, seront également testés.
En outre, des licences d’exploitation de la base de données pourront être concédées aux entreprises privées pour leurs besoins propres de recherche interne et dans le seul but de tester des systèmes de reconnaissance automatiques. Toute exploitation industrielle ou commerciale de la base sera exclue.
La mise en œuvre du dispositif reposera sur la collecte de données effectuées auprès du personnel du laboratoire et des étudiants du GET ainsi que des partenaires. Seules les données des personnes volontaires seront traitées. Une partie des informations sera récupérée via un formulaire, les données biométriques seront collectées dans les laboratoires de l’INT et de ses partenaires. Une fois l’acquisition terminée, la base de données en résultant sera distribuée parmi tous les partenaires de BioSecure.
S’agissant du GET, la base de données constituée sera située sur un poste informatique installé dans le bureau de l’ingénieur informatique du laboratoire de l’INT chargé de la mise en œuvre du traitement. L’accès à ce poste ne sera donné que temporairement pour transférer les données nécessaires vers le poste d’un chercheur impliqué dans le développement d’un algorithme de biométrie nécessitant les données de BioSecure. Cette demande d’accès devra être validée par la responsable du projet au sein du GET.
Les données biométriques stockées sur ce poste informatique seront indexées par un code identifiant. La correspondance entre l’identité des personnes (nom, prénom et coordonnées) et le code identifiant figurant dans la base de données biométriques s’effectuera grâce à un fichier distinct qui sera sauvegardé sur un CD-ROM et conservé dans un coffre fort sous le contrôle de la personne responsable du projet. Il en ira de même pour les formulaires remplis par les participants à la campagne d’acquisition des données.
La Commission prend acte que lors de la transmission des données biométriques, le nom et les coordonnées des volontaires seront gardés et maintenus strictement confidentiels par le GET.
La Commission relève également que les données collectées par le laboratoire de l’INT ne concerneront qu’une centaine de personnes et qu’elles ne seront conservées que pendant trois années.
De même, elle prend acte que le formulaire utilisé pour la collecte des données est accompagné d’un formulaire de consentement que les personnes concernées doivent signer et dans le cadre duquel elles sont informées de la possible transmission d’une partie de leurs données à caractère personnel vers des laboratoires de recherche situés en dehors de l’Union européenne.
Compte tenu de ce qui précède, dans la mesure où seules les données biométriques des personnes volontaires seront traitées et ce dans le seul but d’évaluer des algorithmes de reconnaissance à des fins de recherche, les traitements soumis à la Commission et en particulier, le recours à la constitution de bases de données biométriques ne comportent pas de risques particuliers pour la protection des libertés et des droits fondamentaux de la personne.
Les droits d’accès et de rectification s’exerceront auprès du chef du département électronique et physique de l’INT d’Evry – 9 rue Charles Fournier – 91011 Evry Cedex.
Les catégories de données à caractère personnel enregistrées seront :

  • l’identité de la personne (nom, prénom) ;
  • les coordonnées ;
  • l’image du visage ;
  • le visage parlant (audio/vidéo) ;
  • la signature manuscrite ;
  • l’image de l’iris ;
  • l’image d’empreintes digitales ;
  • l’image de la main
  • l’âge ;
  • le sexe ;
  • l’indication droitier ou gaucher ;
  • l’indication travailleur manuel ou non ;
  • l’indication support visuel: lentilles ou verres de contact ;
  • le niveau d’anglais (bas/moyen/bilingue).

Les destinataires des informations seront, dans la limite de leurs attributions et pour la poursuite de la finalité précitée:

  • pour les données relatives à l’identité et aux coordonnées des personnes concernées : le chef du département électronique et physique de l’INT d’Evry ;
  • pour les autres données : les personnels des laboratoires et services de recherche en charge du projet BioSecure du GET et de ses partenaires.

De même pourront être destinataires des informations, à l’exclusion des données d’identification, les entreprises privées bénéficiant d’une licence d’exploitation sous réserve que :

  • les traitements soient mis en œuvre pour leurs besoins propres de recherche interne et dans le seul but de tester des systèmes de reconnaissance automatiques, à l’exclusion de toute exploitation industrielle ou commerciale de la base ;
  • lorsqu’elles sont situées dans des pays n’assurant pas un niveau de protection suffisant des données, le transfert de données ait préalablement été autorisé par la Commission nationale de l’informatique et des libertés.

Dans ces conditions, la Commission autorise le Groupe des Ecoles des Télécommunications (GET), à mettre en œuvre le traitement de données à caractère personnel présenté.

Le président

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: