Une proposition de loi veut interdire la biométrie

Enfin interdire est sans doute un grand mot, disons que la proposition vise à la restreindre de manière tellement importante qu'en pratique rare seront ceux à pouvoir la mettre en oeuvre au sein de systèmes de traitements automatisés de données.

Celle-ci justifie l'interdiction en affirmant que "L'on assiste depuis quelques années au développement exponentiel de l'usage des données biométriques, en particulier pour contrôler l'accès à des services ou à des locaux professionnels, commerciaux, scolaires ou de loisirs". Personnellement, je n'ai pas constaté de développement exponentiel de ces dispositifs, et encore moins sur les lieux de travail, mais qu'importe. L'Iphone 5 contient un dispositif biométrique, mais il n'est pas concerné par l'interdiction posée par la proposition de loi (puisque la loi informatique et libertés ne s'applique pas aux traitements réalisés pour les besoins personnels des personnes physiques).

En droit français, au contraire tout est déjà fait pour que la biométrie soit très difficile à mettre en place. Sa mise en oeuvre suppose une autorisation préalable de la CNIL, qu'elle ne donne qu'avec parcimonie, et évidemment à condition que tous les principes de la loi informatique et libertés soient respectés... Notamment, que le dispositif soit proportionné aux finalités et que les données soient collectées de manière loyale et licite - cela, sous peine de 5 ans d'emprisonnement et 300.000€ d'amende.

On lit également dans l'exposé de la proposition que :

la loi ne tire pas aujourd'hui toutes les conséquences de ces principes puisque si elle soumet à autorisation la collecte et le traitement des données biométriques, elle ne les conditionne nullement à une finalité particulière.

Pourtant, si ces auteurs avaient vraiment pris la peine de lire la loi qu'ils proposent de modifier, et en particulier son article 6, ils auraient pu lire qu'un "traitement ne peut porter que sur des données à caractère personnel" qui sont "collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités"...  En outre, le fait de détourner les données biométriques de la finalité initialement bornée par la CNIL fait également déjà l'objet de sanctions pénales au sein de l'article 226-21 (5 ans d'emprisonnement et encore 300.000€ d'amende). En résumé tout est déjà verrouillé, bloqué, protégé...

Mais qu'à cela ne tienne, modestement, la première version de la proposition proposait simplement d'imposer que la biométrie ne puisse être mise en oeuvre que pour des motifs de sécurité :

« II bis. - Pour l'application du 8° du I du présent article, ne peuvent être autorisés que les traitements justifiés par une stricte nécessité de sécurité. »

(Pour information, il faut savoir que l'article 25 dans lequel ces nouvelles dispositions s'insèrent, indique une liste de traitements soumis à autorisation préalable de la CNIL, dont, en 8°, les dispositifs biométriques.)

Mais à la limite pourquoi pas. Personnellement, je ne vois pas en quoi cela apporte quoi que ce soit à la loi si l'on observe vraiment l'ensemble de ses principes, mais qu'importe. Au moins la phrase est bien rédigée, claire et applicable d'un point de vue juridique.

C'était la V1... Les choses se gâtent sérieusement avec la V2 et une modification, pour le coup quasi-incompréhensible de la proposition initiale ; voici le texte :

« II bis. - Pour l'application du 8° du I du présent article, ne peuvent être autorisés que les traitements ayant pour finalité le contrôle de l'accès physique ou logique à des locaux, équipements, applications ou services représentant ou contenant un enjeu majeur dépassant l'intérêt strict de l'organisme et ayant trait à la protection de l'intégrité physique des personnes, à celle des biens ou à celle d'informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible. »

D'abord, le texte commence par interdire les traitements biométriques ("ne peuvent être autorisés"...), sauf ceux limitativement énumérés qui permettent : le contrôle d'accès à des locaux, à des équipements ou applications, ou à des services. Légalement, l'interdiction est beaucoup plus stricte car aucun traitement biométrique ne sera possible au-delà de ceux énumérés.

Ensuite, le texte est bardé de conditions (et/ou) qui le rendent très difficilement lisible. Par exemple, est-ce que la condition du "préjudice grave et irréversible" s'applique à la protection de l'intégrité physique des personnes ? Difficile à dire... De même on se demande pourquoi avoir visé l'intégrité physique des personnes, et pas simplement les personnes et pourquoi pas leurs données personnelles ?

Enfin, si l'on additionne le nombre de conditions posées, on se dit que l'obtention de l'autorisation de la CNIL va être des plus difficile à mettre en oeuvre en pratique...

Dommage pour les entreprises françaises qui travaillaient dans le secteur de la biométrie. Tant pis pour les emplois crées. Tant pis pour le fait qu'elles participaient à bâtir des technologies souveraines de sécurité informatique.

Elles travailleront sans aucun doute bien mieux à l'étranger...

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

20 comments
Alexandre Raynaud - a couple of years ago

Ce projet de loi vise t’il tous les dispositifs biometriques ou uniquement ceux qui laissent des « traces » (empreintes digitales). Par exemple à ce jour les recommandations de la Cnil pour les accès aux cantines dans les écoles est d’autoriser uniquement la biométrie « sans trace ».

Reply
    Thiébaut Devergranne - a couple of years ago

    La V2 comporte des dispositions transitoires que je vous transmet ici :
    « Article 2 (nouveau)

    Les responsables de traitements de données à caractère personnel dont la mise en oeuvre est régulièrement intervenue avant l’entrée en vigueur de la présente loi disposent, à compter de cette date, d’un délai de trois ans pour mettre leurs traitements en conformité avec les dispositions de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dans leur rédaction issue de la présente loi.
    Les dispositions de la loi n° 78-17 du 6 janvier 1978 précitée, dans sa rédaction antérieure à la présente loi, demeurent applicables aux traitements qui y étaient soumis jusqu’à ce qu’ils aient été mis en conformité avec les dispositions de la loi n° 78-17 du 6 janvier 1978 précitée, dans leur rédaction issue de la présente loi, et, au plus tard, jusqu’à l’expiration du délai de trois ans prévu à l’alinéa précédent. »

    Pour le reste, attendons avant d’avoir le texte définitif, il risque d’y avoir beaucoup de modifications d’ici là.

    Reply
Nicolas DUQUESNE - a couple of years ago

Bonjour,

Merci pour cet article très instructif et révélateur d’un réel dysfonctionnement législatif…
Méconnaissance des textes existants ainsi que de la jurisprudence établie depuis une dizaine d’année par l’autorité chargée de son application… Bref une proposition de loi inutile, mal écrite, source de complications et d’insécurité juridique: une fois encore c’est un « grand chelem » pour notre législateur, à quand un pacte de formation en « légistique » pour tous les parlementaires…

A bientôt

Nicolas

Reply
    Thiébaut Devergranne - a couple of years ago

    Oui, il y a vraiment un problème ici en termes de rédaction du texte ; après on peut argumenter du fait que le texte sera amélioré par les débats parlementaires, mais bon, il est source de très forte insécurité juridique en l’état, ce qui est regrettable.

    Reply
Dominique Ciupa - a couple of years ago

Il y a plein de propositions de loi déposées tous les jours. Concrètement, 85% des lois votées sont issues de projets de lois, pas de propositions.

Ce texte ira enrichir la bibliothèque du Sénat et n’aura peut-être même pas les honneurs de la bibliothèque du Palais Bourbon (qui pourtant comprend des km de rayonnage).

Quant à être appliqué … Plaçons ce sujet pour le moment dans la rubrique « veille ». Mais effectivement, si une évolution survenait, il y aurait matière, par un processus d’escalade, à le mettre en rubrique « alerte ».

Reply
    Thiébaut Devergranne - a couple of years ago

    La proposition sera fortement amendée, mais je peux vous assurer qu’il est très très probable qu’elle aboutisse !

    Reply
      Dominique Ciupa - a couple of years ago

      Mais, qu’elle aboutisse à quoi ? Il existe déjà, et depuis de très nombreuses années, des moyens très importants de limiter l’usage des technologies biométriques. C’est une réalité des moyens que possède déjà la CNIL. Qu’elle aboutisse à ce qui existe déjà ?

      Par ailleurs, en matière de techniques d’authentification forte, la biométrie trouve d’elle-même ses propres limites. Une authentification doit pouvoir être répudiée : on doit pouvoir changer un mot de passe. Mais on ne peut pas se couper la main pour s’en faire greffer une seconde et présenter de nouvelles empreintes digitales. C’est une faiblesse forte de solutions d’authentification biométriques. C’est connu et cela limite déjà l’usage des solutions biométriques. Pour des solutions d’authentification de très haute sécurité, il existe d’autres moyens. Le marché peut aussi une solution d’arbitrage.

      Alors, beaucoup de bruit pour peu de choses ? Passera, ou ne passera pas, amendé, ou non ?

      à suivre … au long court.

      Reply
        Thiébaut Devergranne - a couple of years ago

        et bien oui vous avez tout à fait raison : il existe déjà une tonne de choses et c’est bien le problème. Là les parlementaires tentent de refaire – de manière assez catastrophique – ce qui a déjà été *bien* fait…

        Après en ce qui concerne l’usage de la biométrie, on peut discuter la technique, là n’est pas mon propos toutefois 😉

        Espérons que la proposition sera abandonnée !
        A suivre effectivement 😉

        Reply
Matthieu DESRUMAUX - a couple of years ago

Effectivement, les deux versions des articles II bis n’appliquent pas exactement le même raisonnement.

Dans la première version du texte (article II Bis, version 1), le législateur subordonnait les traitements « justifiés » par une stricte nécessité de sécurité. Ainsi l’autorisation de la CNIL :
– relevait des mêmes critères d’évaluation que les autres traitements de données personnelles : finalité déterminée, explicite et légitime (proportionnalité) ;
– et la finalité du traitement ne pouvait porter que sur un objet déterminé (la sécurité) ; elle était appréciée de manière plus sévère (« stricte nécessité de… »).

Se posait alors une difficulté : comment comprendre la notion de « sécurité » à laquelle renvoyait le texte initial ? Les impératifs de sécurité publique (comme par exemple la sécurité d’un aéroport) ou ceux de la sécurité privée (comme par exemple l’autorisation d’accès à des locaux professionnels) seraient-ils appréciés de la même manière ?

A cette question, la CNIL aurait pu apporter des réponses précises, et développer sa pratique.

Toutefois, dans la seconde version proposée par le Sénat (article II bis, version 2), la CNIL semble en partie dépossédée de sa liberté d’appréciation, puisque le texte détermine de manière limitative la finalité du traitement biométrique (« le contrôle de l’accès physique ou logique à des locaux…) mais également l’intérêt à préserver (« enjeu majeur » et « préjudice grave et irréversible »).

Dans le nouveau texte, il semble que le législateur apprécie la finalité des traitements biométriques à l’aulne d’un intérêt personnel à préserver, et non plus de l’intérêt général. Les critères de proportionnalité sont essentiels subjectifs.

Comme vous le soulignez fort justement, la rédaction est peu intelligible. Ou bien les critères d’évaluation de la CNIL étaient satisfaisants, et peut-être le législateur aurait-il se satisfaire d’un texte clair de portée générale (article II bis version 1). Ou bien ces critères étaient insatisfaisants en matière de traitement biométriques, et dans ce cas le texte proposé n’offre pas la sécurité juridique que les entreprises sont en droit d’attendre, et nous devrons effectivement nous attendre à d’importantes difficultés d’application (article II bis, version 2).

Peut-être le législateur pourrait-il s’inspirer du Discours préliminaire sur le projet de Code civil, présenté par Portalis…

Reply
    Thiébaut Devergranne - a couple of years ago

    Bonjour Matthieu,

    Oui c’est tout à fait exact, je vous rejoins totalement sur les difficultés d’interprétation. En outre ce qui est dérangeant est également l’idée finalement que ce texte, particulier à la biométrie, cherche à remettre en cause finalement les principes généraux posés par la loi. C’est un peu comme s’ils ne suffisaient plus, alors que ceux-ci sont les garde-fou qui permettent un équilibre effectif et opérationnel.

    Par contre pour ce qui est de s’inspirer de la qualité du Discours de Portalis, là c’est une toute autre histoire 😉

    Reply
Nicolas Duquesne - a couple of years ago

Bonjour,

Pour ma part, si le texte devait en rester là il est de forte chance qu’en définitive l’appréciation des finalités de traitement ne revienne à la CNIL, c’est ici que je diverge quelque peu, car les finalités inscrites dans la proposition de loi sont tellement imprécises que la décision ne pourra revenir in fine qu’à l’appréciation de la CNIL lors des demandes d’autorisation. Cette dernière pourra donc continuer à forger sa jurisprudence en la matière (par exemple sur les accès des cantines scolaires ou de parcs municipaux)… Et donc cette proposition de loi se voulant « réformatrice » n’aurait que pour conséquence… de ne rien changer à l’état actuel des choses…

Rationnalité quand tu nous tiens !!!

Bien à vous

Reply
    Thiébaut Devergranne - a couple of years ago

    Oui et non. Vous avez raison de dire que la CNIL devra apprécier les choses. Par contre la loi va lui fixer un cadre beaucoup plus strict, et ici très très très limitatif…
    C’est tout le problème posé par le texte !

    Reply
      Nicolas DUQUESNE - a couple of years ago

      Certes le texte semble restrictif au premier abord, pour ma part la notion d’ « enjeu majeur dépassant l’intérêt strict de l’organisme et ayant trait à la protection de l’intégrité physique des personnes… » est plus ouverte qu’il n’y paraît; de plus elle reprend grandement les principes fixés par la CNIL dans ces décisions en matières de biométrie. Par ailleurs, imaginant que la CNIL adopte une position qui « sortirait » de ce cadre, quelle serait l’efficacité d’un contentieux en la matière dans la mesure où la peu de contentieux en matière de données personnelles (1) est amplement favorable à la Commission (2); pour espérer prospérer la demande devra démontrer une dispoportion « évidente » entre la position de la CNIL, objet du traitement biométrique au regard des finalités décrites dans le texte de la loi… pas si facile.

      Bien cordialement,

      Nicolas

      Reply
armand - a couple of years ago

Les sociétés françaises qui développent des systèmes biométriques se passent très bien d’autorisation de la Cnil pour l’instant, il n’y a donc pas de raisons que cela change… Je ne pense donc pas qu’elles soient fondamentalement inquiétées par cette ppl.

Pour rappel un article de reflets sur la biométrie et sur la vision des industriels en la matière : http://reflets.info/gattaz-guide-supreme-medef-petit-livre-bleu/

Personnellement, et même si cette ppl est très certainement vouée à l’échec, toute limitation du recours à des systèmes biométriques ne peut être qu’une bonne chose : la biométrie est loin d’être le mécanisme d’authentification le plus efficace, et cela pose de gros problèmes en termes de liberté publique et individuelle.

L’objectif de cette loi est de supprimer la biométrie dite de confort, comme les lecteurs d’empreintes digitales sur les PC qui peuvent servir à remplacer un mot de passe de session.

Effectivement ce sera à la Cnil de définir précisément les critères permettant l’obtention d’une autorisation.

Reply
    Thiébaut Devergranne - a couple of years ago

    Je n’ai pas un avis aussi tranché que le votre sur l’usage de la biométrie. Je viens de passer à l’Iphone 5s, et franchement je trouve que le lecteur biométrique apporte un confort extraordinaire d’usage. Donc pour ce qui concerne la « grande méchante biométrie », je ne suis pas du tout d’accord. Par contre dire qu’il existe des usages *potentiels* qui sont à risque, là oui. Mais cela fait 10 ans maintenant qu’ils ont été cadrés rigoureusement par la loi et par la CNIL, donc là juridiquement cela ne pose plus de problème (car il est impossible ajd légalement de mettre en place un système qui soit attentatoire aux libertés individuelles).

    Reply
      armand - a couple of years ago

      C’est un point de vue, pour moi ce n’est pas parce qu’il n’y a pas de problème juridique qu’il n’y a pas de problème de liberté publique/individuelle. Maintenant que le fichier biométrique des passeports a été nettoyé il ne présente plus aucun problème juridique, par contre je ne dirai pas qu’il n’est pas attentatoire aux libertés individuelle, et à titre personnel je ne suis pas pressé d’y figurer…

      Dans le cas de l’iphone 5S je suis tout à fait d’accord sur le confort d’usage, et le risque pour la personne peut être pratiquement nul si Apple peut garantir que les données restent confinées dans le téléphone.

      Par contre cela baisse le niveau de sécurité, car il est très complexe de faire du chiffrement à partir d’une authentification biométrique, alors qu’il est facile de chiffrer le contenu d’un smartphone avec un mot de passe complexe, et je ne suis pas sur qu’une authentification biométrique pour accéder à un appareil avec des surfaces en verre poli et que l’on manipule constamment avec les doigts soit la technique la plus sécurisée…

      Reply
        Thiébaut Devergranne - a couple of years ago

        Oui, alors sur la biométrie étatique, là je suis d’accord avec vous pour dire qu’il y a sans doute des choses à revoir – mais ce n’est pas l’objet du projet de loi.

        Pour la sécurité biométrique je suis partagé sur votre argumentation : oui il est facile de sécuriser l’appareil avec un mdp solide, mais non c’est la plaie de rentrer un mdp solide toutes les 30 secondes quand on veut s’en servir, de sorte que la biométrie là apporte un élément vraiment très pratique – et donc permet de renforcer considérablement la sécurité.
        Je peux vous dire que cela me simplifie considérablement les choses depuis que je n’ai plus à entrer mon mdp à chaque fois que je veux utiliser mon téléphone ! Le gain est vraiment énorme.

        Reply
          armand - a couple of years ago

          La biométrie n’apporte pas de gain en termes de sécurité. C’est plus pratique, beaucoup plus pratique, mais moins sécurisé.

          Le niveau de sécurité que ce genre de dispositif peut être suffisant par rapport à ce que vous avez dans votre smartphone, et c’est peut être même mieux qu’un code à 4 chiffres, mais je doute que ce soit comparable à un mot de passe complexe.

          Reply
            Thiébaut Devergranne - a couple of years ago

            Il faut effectivement distinguer entre identification et authentification ; la biométrie peut être un élément de l’authentification, mais il en faudra toujours un second pour avoir un processus valable (sans quoi il s’agit d’identification, ce qui est beaucoup moins solide en termes de sécurité, ce que vous soulignez).

            En cela, peut-être effectivement qu’un mot de passe complexe pourrait être plus solide. C’est très possible, encore qu’il faille prendre en compte les contraintes qui vont avec et qui font qu’un utilisateur risque de noter son mot de passe complexe sur un papier, ou le conserver quelque part, ce qui réduit son efficacité pose un certain problèmes également.

            Reply
Jacques - a couple of years ago

Bonjour, j’ai lu attentivement l’ensemble des commentaires et remarques et je me pose une question, tous parlent de la forme de la loi, qu’en est il du fond? Doit on réellement considérer dans l’esprit de la loi, que l’individu est le seul porteur des données qui permettent qu’il soit bien identifié. Ne devrait on pas chercher justement à rendre les dispositifs non tributaire de ces données et ne chercher à les utiliser ou les conserver que pour la vérification après dysfonctionnement et organisation d’une réponse que ce ne peut pas être l’individu cité qui soit en cause si des instrusions ou des malversations sont apparues. Peut être suis je trop naïf?

Reply
Click here to add a comment

Leave a comment: