Secteur privé, secteur public, tous les organismes qui utilisent les empreintes digitales pour identifier les utilisateurs d’ordinateurs portables sont concernés par cet allègement. Depuis fin mars, les ordinateurs portables professionnels intégrant des lecteurs d’empreintes digitales font partie des dispositifs bénéficiant d’une déclaration simplifiée (c’est-à-dire d’un simple engagement de conformité). Rappelons que la Cnil a simplifié les formalités pour les dispositifs biométriques reposant sur la reconnaissance :
– du contour de la main pour assurer le contrôle d’accès aux lieux de travail et de restauration collective, ainsi que la gestion des horaires (autorisation unique AU-007) ;
– de l’empreinte digitale exclusivement enregistrée sur un support individuel pour contrôler l’accès aux locaux professionnels (autorisation unique AU-008) ;
– du contour de la main pour assurer le contrôle d’accès au restaurant scolaire (autorisation unique AU-009) ;
– du réseau veineux des doigts de la main pour contrôler l’accès aux locaux sur les lieux de travail (autorisation unique AU-019).

La Cnil a adopté une délibération portant « autorisation unique » de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle de l’accès aux postes informatiques portables professionnels. La Cnil a toujours distingué les dispositifs en fonction du mode de stockage des empreintes ou des gabarits d’empreintes utilisés. Ainsi le stockage sur un support individuel permet une meilleur maîtrise des données par le détenteur. La Cnil applique ici le même raisonnement en assimilant les PC à des supports individuels puisqu’ils sont sous le contrôle exclusif et personnel de l’utilisateur à qui ils ont été confié. En revanche, si le lecteur d’empreintes n’est pas intégré à l’ordinateur portable, il doit faire l’objet d’une autorisation.

Pour bénéficier de cette formalité allégée, les traitements mis en oeuvre doivent uniquement avoir pour but de contrôler l’accès à des ordinateurs portables professionnels ; autrement dit, le dispositif ne doit pas être utilisé à des fins de contrôle du temps de travail, finalité nécessitant une autorisation spécifique. Seul l’identifiant de l’utilisateur, son mot de passe et le gabarit de son ou de ses empreinte(s) digitale(s) peuvent faire l’objet d’un traitement. Le contrôle de l’accès au poste informatique doit s’effectuer par comparaison entre le gabarit de l’empreinte digitale du doigt apposé sur le lecteur et le gabarit de l’empreinte digitale préalablement enregistrée.

Le gabarit de l’empreinte digitale de la personne concernée doit exclusivement être enregistré sur le poste informatique portable détenu par elle seule et dont le contenu ne peut être lu à son insu. Il ne doit pas circuler sur un réseau et doit être stocké sous forme chiffrée grâce à un algorithme cryptographique réputé fort. Enfin, le gabarit de l’empreinte digitale ne peut être conservé que pour le temps pendant lequel la personne concernée est habilitée à accéder à son poste informatique portable.

Eric Barbry

Cnil, Délibération n° 2011-074 du 10 mars 2011 : Jo du 31 mars 2011