Une proposition de loi veut interdire la biométrie

Enfin interdire est sans doute un grand mot, disons que la proposition vise à la restreindre de manière tellement importante qu’en pratique rare seront ceux à pouvoir la mettre en oeuvre au sein de systèmes de traitements automatisés de données.

Celle-ci justifie l’interdiction en affirmant que « L’on assiste depuis quelques années au développement exponentiel de l’usage des données biométriques, en particulier pour contrôler l’accès à des services ou à des locaux professionnels, commerciaux, scolaires ou de loisirs« . Personnellement, je n’ai pas constaté de développement exponentiel de ces dispositifs, et encore moins sur les lieux de travail, mais qu’importe. L’Iphone 5 contient un dispositif biométrique, mais il n’est pas concerné par l’interdiction posée par la proposition de loi (puisque la loi informatique et libertés ne s’applique pas aux traitements réalisés pour les besoins personnels des personnes physiques).

En droit français, au contraire tout est déjà fait pour que la biométrie soit très difficile à mettre en place. Sa mise en oeuvre suppose une autorisation préalable de la CNIL, qu’elle ne donne qu’avec parcimonie, et évidemment à condition que tous les principes de la loi informatique et libertés soient respectés… Notamment, que le dispositif soit proportionné aux finalités et que les données soient collectées de manière loyale et licite – cela, sous peine de 5 ans d’emprisonnement et 300.000€ d’amende.

On lit également dans l’exposé de la proposition que :

la loi ne tire pas aujourd’hui toutes les conséquences de ces principes puisque si elle soumet à autorisation la collecte et le traitement des données biométriques, elle ne les conditionne nullement à une finalité particulière.

Pourtant, si ces auteurs avaient vraiment pris la peine de lire la loi qu’ils proposent de modifier, et en particulier son article 6, ils auraient pu lire qu’un « traitement ne peut porter que sur des données à caractère personnel » qui sont « collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités« …  En outre, le fait de détourner les données biométriques de la finalité initialement bornée par la CNIL fait également déjà l’objet de sanctions pénales au sein de l’article 226-21 (5 ans d’emprisonnement et encore 300.000€ d’amende). En résumé tout est déjà verrouillé, bloqué, protégé…

Mais qu’à cela ne tienne, modestement, la première version de la proposition proposait simplement d’imposer que la biométrie ne puisse être mise en oeuvre que pour des motifs de sécurité :

« II bis. – Pour l’application du 8° du I du présent article, ne peuvent être autorisés que les traitements justifiés par une stricte nécessité de sécurité. »

(Pour information, il faut savoir que l’article 25 dans lequel ces nouvelles dispositions s’insèrent, indique une liste de traitements soumis à autorisation préalable de la CNIL, dont, en 8°, les dispositifs biométriques.)

Mais à la limite pourquoi pas. Personnellement, je ne vois pas en quoi cela apporte quoi que ce soit à la loi si l’on observe vraiment l’ensemble de ses principes, mais qu’importe. Au moins la phrase est bien rédigée, claire et applicable d’un point de vue juridique.

C’était la V1… Les choses se gâtent sérieusement avec la V2 et une modification, pour le coup quasi-incompréhensible de la proposition initiale ; voici le texte :

« II bis. – Pour l’application du 8° du I du présent article, ne peuvent être autorisés que les traitements ayant pour finalité le contrôle de l’accès physique ou logique à des locaux, équipements, applications ou services représentant ou contenant un enjeu majeur dépassant l’intérêt strict de l’organisme et ayant trait à la protection de l’intégrité physique des personnes, à celle des biens ou à celle d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible. »

D’abord, le texte commence par interdire les traitements biométriques (« ne peuvent être autorisés »…), sauf ceux limitativement énumérés qui permettent : le contrôle d’accès à des locaux, à des équipements ou applications, ou à des services. Légalement, l’interdiction est beaucoup plus stricte car aucun traitement biométrique ne sera possible au-delà de ceux énumérés.

Ensuite, le texte est bardé de conditions (et/ou) qui le rendent très difficilement lisible. Par exemple, est-ce que la condition du « préjudice grave et irréversible » s’applique à la protection de l’intégrité physique des personnes ? Difficile à dire… De même on se demande pourquoi avoir visé l’intégrité physique des personnes, et pas simplement les personnes et pourquoi pas leurs données personnelles ?

Enfin, si l’on additionne le nombre de conditions posées, on se dit que l’obtention de l’autorisation de la CNIL va être des plus difficile à mettre en oeuvre en pratique…

Dommage pour les entreprises françaises qui travaillaient dans le secteur de la biométrie. Tant pis pour les emplois crées. Tant pis pour le fait qu’elles participaient à bâtir des technologies souveraines de sécurité informatique.

Elles travailleront sans aucun doute bien mieux à l’étranger…

Téléchargez la formation conformité RGPD

Téléchargez gratuitement notre formation conformité RGPD et éliminez vos risques rapidement

Thiébaut Devergranne
Docteur en droit
Thiébaut Devergranne est expert en droit des nouvelles technologies depuis plus de 15 ans, dont 6 passés au sein des services du Premier Ministre. En savoir plus
Téléchargez la formation conformité RGPD (gratuit)
Téléchargez gratuitement notre mini formation conformité RGPD et réduisez vos risques rapidement, avec l'actualité de la conformité RGPD et nos offres de produits/service exclusives !
VOS CGV (gratuites)