Une proposition de loi veut interdire la biométrie

    Celle-ci justifie l’interdiction en affirmant que « L’on assiste depuis quelques années au développement exponentiel de l’usage des données biométriques, en particulier pour contrôler l’accès à des services ou à des locaux professionnels, commerciaux, scolaires ou de loisirs« . Personnellement, je n’ai pas constaté de développement exponentiel de ces dispositifs, et encore moins sur les lieux de travail, mais qu’importe. L’Iphone 5 contient un dispositif biométrique, mais il n’est pas concerné par l’interdiction posée par la proposition de loi (puisque la loi informatique et libertés ne s’applique pas aux traitements réalisés pour les besoins personnels des personnes physiques).

    En droit français, au contraire tout est déjà fait pour que la biométrie soit très difficile à mettre en place. Sa mise en oeuvre suppose une autorisation préalable de la CNIL, qu’elle ne donne qu’avec parcimonie, et évidemment à condition que tous les principes de la loi informatique et libertés soient respectés… Notamment, que le dispositif soit proportionné aux finalités et que les données soient collectées de manière loyale et licite – cela, sous peine de 5 ans d’emprisonnement et 300.000€ d’amende.

    On lit également dans l’exposé de la proposition que :

    la loi ne tire pas aujourd’hui toutes les conséquences de ces principes puisque si elle soumet à autorisation la collecte et le traitement des données biométriques, elle ne les conditionne nullement à une finalité particulière.

    Pourtant, si ces auteurs avaient vraiment pris la peine de lire la loi qu’ils proposent de modifier, et en particulier son article 6, ils auraient pu lire qu’un « traitement ne peut porter que sur des données à caractère personnel » qui sont « collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités« …  En outre, le fait de détourner les données biométriques de la finalité initialement bornée par la CNIL fait également déjà l’objet de sanctions pénales au sein de l’article 226-21 (5 ans d’emprisonnement et encore 300.000€ d’amende). En résumé tout est déjà verrouillé, bloqué, protégé…

    Mais qu’à cela ne tienne, modestement, la première version de la proposition proposait simplement d’imposer que la biométrie ne puisse être mise en oeuvre que pour des motifs de sécurité :

    « II bis. – Pour l’application du 8° du I du présent article, ne peuvent être autorisés que les traitements justifiés par une stricte nécessité de sécurité. »

    (Pour information, il faut savoir que l’article 25 dans lequel ces nouvelles dispositions s’insèrent, indique une liste de traitements soumis à autorisation préalable de la CNIL, dont, en 8°, les dispositifs biométriques.)

    Mais à la limite pourquoi pas. Personnellement, je ne vois pas en quoi cela apporte quoi que ce soit à la loi si l’on observe vraiment l’ensemble de ses principes, mais qu’importe. Au moins la phrase est bien rédigée, claire et applicable d’un point de vue juridique.

    C’était la V1… Les choses se gâtent sérieusement avec la V2 et une modification, pour le coup quasi-incompréhensible de la proposition initiale ; voici le texte :

    « II bis. – Pour l’application du 8° du I du présent article, ne peuvent être autorisés que les traitements ayant pour finalité le contrôle de l’accès physique ou logique à des locaux, équipements, applications ou services représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme et ayant trait à la protection de l’intégrité physique des personnes, à celle des biens ou à celle d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible. »

    D’abord, le texte commence par interdire les traitements biométriques (« ne peuvent être autorisés »…), sauf ceux limitativement énumérés qui permettent : le contrôle d’accès à des locaux, à des équipements ou applications, ou à des services. Légalement, l’interdiction est beaucoup plus stricte car aucun traitement biométrique ne sera possible au-delà de ceux énumérés.

    Ensuite, le texte est bardé de conditions (et/ou) qui le rendent très difficilement lisible. Par exemple, est-ce que la condition du « préjudice grave et irréversible » s’applique à la protection de l’intégrité physique des personnes ? Difficile à dire… De même on se demande pourquoi avoir visé l’intégrité physique des personnes, et pas simplement les personnes et pourquoi pas leurs données personnelles ?

    Enfin, si l’on additionne le nombre de conditions posées, on se dit que l’obtention de l’autorisation de la CNIL va être des plus difficile à mettre en oeuvre en pratique…

    Dommage pour les entreprises françaises qui travaillaient dans le secteur de la biométrie. Tant pis pour les emplois crées. Tant pis pour le fait qu’elles participaient à bâtir des technologies souveraines de sécurité informatique.

    Elles travailleront sans aucun doute bien mieux à l’étranger…

    Thiébaut Devergranne
    Thiébaut Devergranne
    Thiébaut Devergranne est docteur en droit et expert en droit des nouvelles technologies depuis plus de 20 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus

    Ils nous ont fait confiance

    logo Deloitte
    logo starbucks
    logo orange bank
    logo vinci
    logo nokia
    logo sanofi
    logo sncf
    Automatisez votre conformité RGPD
    Economisez-vous des semaines de travail avec Legiscope logiciel de gestion de la conformité RGPD
    VOS CGV (gratuites)