Le droit dans la Fonction Publique

Utilisation de la biométrie

Un aspect nouveau est abordé dans le 22ème rapport d'activité de la Commission Nationale de l'Informatique et des Libertés (CNIL), il s'agit des « technologies biométriques » qui sortent du champ policier, et sont utilisées de plus en plus dans l'entreprise et dans notre vie privée. Le rapport intégral est visible sur le site de la CNIL ou peut être commandé à la documentation française.

Contrôle d'accès et gabarits de contours de la main

S'agissant des dispositifs reposant sur la constitution de bases de données, il paraît très significatif que la Commission ait donné systématiquement des avis favorables ou n'ait pas formulé de réserve particulière lorsque la base de données était constituée des gabarits de contour de la main, élément biométrique qui, à la différence des empreintes digitales, ne laisse pas de trace complète ou repérable sur les objets qui nous entourent. Tel a été le cas d'une reconnaissance biométrique à des fins de contrôle d'accès et des horaires des personnels de nettoyage du musée du Louvre (avis favorable 01-006 du 25 janvier 2001), du contrôle d'accès mis en œuvre dans une bijouterie (récépissé de déclaration du 12 février 2001), du contrôle des horaires du personnel soignant à domicile des personnes handicapées (même date), du contrôle des horaires du personnel de nettoyage d'un centre commercial à La Défense (récépissé de déclaration délivré en 2002). Ainsi, que la finalité de la base de données ait été le contrôle d'accès ou le contrôle des horaires, la reconnaissance par le contour de la main n'a jusqu'à présent rencontré aucune réserve de la part de la CNIL.

Contrôle d'accès et base de données d’empreintes digitales

La Commission a délivré des avis favorables ou n'a pas formulé de réserve particulière à l'égard de dispositifs de contrôle d'accès reposant sur la constitution de bases de données d'empreintes digitales lorsqu'un impératif de sécurité des locaux à protéger était en jeu.

Ainsi d'un contrôle d'accès à des zones hautement sécurisées de la Banque de France (avis favorable 97-044 du 10 juin 1997), de la Cogema à La Hague, s'agissant de bâtiments de stockage du plutonium (récépissé de déclaration du 17 novembre 2000), des zones de fabrication dans les locaux du G. I. E. carte bleue (récépissé de déclaration du 25 avril 2001), des zones de fabrication de cartes à puce de la Sagem (récépissé de déclaration du 25 avril 2002). En revanche, elle a prononcé des avis défavorables ou sous réserve lorsqu'il s'est agi de bases de données d'empreintes digitales à des fins de contrôle d'accès à la cantine d'un collège (avis défavorable 00-015 du 21 mars 2000) ou à l'ensemble des locaux d'une cité académique […]. Ces deux délibérations ont été prises au motif de l'absence de tout impératif particulier de sécurité qui distinguerait ces locaux de tous les autres et d'une disproportion manifeste entre le dispositif et l'objectif visé. La Commission s'est prononcée dans un même sens négatif lorsque les bases de données d'empreintes digitales étaient constituées à des fins du contrôle du temps de travail dans une préfecture (avis défavorable 00-057 du 16 novembre 2000), dans une compagnie aérienne ou dans une mairie (avis défavorable 02-034 du 23 avril 2002).

Une doctrine en trois points

Ces décisions esquissent une doctrine qui peut, à ce stade, être ainsi résumée :

  1. Les technologies de reconnaissance biométrique ne reposant pas sur le stockage des gabarits dans une base de données ne soulèvent pas de difficulté particulière en termes « informatique et libertés », dès lors que le gabarit est conservé sur soi (une carte à puce) ou sur un appareil dont on a l'usage exclusif (un téléphone portable, un ordinateur, etc.) et nulle part ailleurs.
  2. En revanche, lorsqu'une base de données est constituée dans le cadre d'un dispositif d'identification biométrique, l'élément biométrique retenu peut avoir une incidence sur nos libertés et notre vie privée ; tel est le cas lorsque l'élément biométrique retenu «laisse des traces» dans notre vie quotidienne (A. D. N., empreinte digitale). Dans un tel cas, le contrôle de finalité et de proportionnalité peut conduire à accepter la mise en oeuvre de telles bases de données lorsqu'un impératif particulier de sécurité le justifie.
  3. A défaut d'une telle justification particulière, et lorsqu'une base de données de gabarits est constituée, le choix d'un élément biométrique «ne laissant pas de trace», comme le contour de la main, la rétine, la reconnaissance vocale, etc. devrait être préféré à la prolifération de fichiers d'ADN ou d'empreintes digitales.