« La biométrie ne peut pas être le seul moyen pour accéder à l’application »

Quelle est la position de la CNIL concernant la biométrie et son usage par des entreprises privées ?

Le traitement biométrique est considéré comme risqué pour les libertés des personnes, parce qu’il concerne une information qui va permettre d’automatiser la reconnaissance d’une personne, une information qui va la suivre toute sa vie. Contrairement à un mot de passe, un élément biométrique ne peut pas être changé. S’il est utilisé dans un système et que ce dernier est détourné ou attaqué, la biométrie sera corrompue et ne pourra être modifiée par la suite. L’usage de la biométrie, en cas de problème, entraîne des conséquences irréversibles pour les personnes et on ne traite pas la biométrie comme on traiterait l’usage d’un simple mot de passe. La loi informatique et libertés, qui date de 1978, a été modifiée en 2004 pour intégrer une directive européenne de 1995 qui donnait la possibilité aux États membres de prévoir un régime d’autorisation préalable pour les traitements estimés « dangereux ». À l’époque, la CNIL a demandé, et cela a été intégré dans la loi en 2004, que les traitements biométriques soient soumis à son autorisation, ce qui n’est pas le cas dans tous les États membres. Il existe un régime français assez particulier par rapport à la biométrie : nous sommes extrêmement attentifs dès lors qu’un traitement de ce type est mis en place et très vigilants à ce que cela ne devienne pas systématique et ne soit utilisé que dans des cas où le besoin est réel.

Du monde physique aux risques numériques

Est-ce que les considérations sont les mêmes quel que soit le support utilisé pour la biométrie ?

En termes de doctrine, nous avons eu différentes phases. De 2006 à 2014, nous distinguions les biométries « à trace » et les biométries « sans trace » :

• le « sans trace », qui ne laissait pas de traces physiques – comme le réseau veineux, l’iris de l’œil, la voix ou même la reconnaissance faciale – était moins dangereux que le relevé d’empreinte digitale ou d’ADN. La CNIL avait décidé, dans les grandes lignes, qu’il était moins risqué de recourir à de la biométrie sans trace et acceptait que, dans cette biométrie sans trace, le gabarit – qui est notre élément de comparaison – soit stocké dans une base centralisée, dans un même serveur ;
• a contrario, la biométrie « à trace » était dangereuse. Il fallait un système de stockage du gabarit plus protecteur pour les personnes, en l’occurrence un support individuel qui restait sous son contrôle permanent. La centralisation dans un serveur de la biométrie à traces était acceptée dans certains cas, mais à titre exceptionnel et pour un fort impératif de sécurité.

À partir de 2014, le distinguo entre biométrie à traces et sans trace n’était plus d’actualité. La raison en est que, jusqu’alors, on parlait de traces physiques et que les traces numériques se multipliant, le différentiel de risque disparaissait. La distinction que l’on faisait avant dans le type de stockage du gabarit n’était plus d’actualité non plus.

Nous avons alors établi une nouvelle doctrine pour les demandes, nombreuses, relatives aux contrôles d’accès dans les entreprises basés sur la biométrie. Il a été acté, à cette occasion, que le risque entraîné par la biométrie n’a certainement pas diminué, qu’il s’accroît même à mesure que le nombre de dispositifs augmente. En effet, plus vous avez de bases qui recueillent de la donnée biométrique, plus le risque de fuites et de corruption de la donnée biométrique est important. Partant de ce principe, la Commission encourage le recours à des supports individuels, quel que soit le type d’élément biométrique.

Comme lors de l’expérimentation réalisée en 2013 par Natural Security [1] ?

Exactement. Si vous perdez votre carte support, le gabarit seul est perdu et la carte support elle-même intègre des protections suffisamment fortes pour éviter que la donnée ne soit extraite. De plus, le gabarit se trouve « à l’intérieur », ce n’est pas une photographie de votre biométrie, il est donc plus difficilement détournable. En contrepartie, il est toujours possible, dans certains cas justifiés, de faire appel à un stockage en base centralisée, mais uniquement s’il y a un véritable besoin.

Les banques ont-elles des demandes spécifiques concernant la biométrie ?

En effet, le positionnement de la Commission sur l’usage des dispositifs biométriques intégrés dans les smartphones a été demandé. Le cas de figure étant une banque qui offre une application utilisant le dispositif biométrique du téléphone pour permettre l’accès à ses services. Nous avons posé plusieurs conditions ? Premièrement, la biométrie ne peut pas être le seul moyen proposé pour accéder à l’application : le recours à un traitement biométrique doit être basé sur le consentement libre de la personne, ce qui n’est pas le cas si vous ne proposez que ce seul système d’authentification. Notre deuxième constat est que, dans certains cas, des dispositifs intégrés dans les smartphones fonctionnent comme un coffre-fort, dans un environnement complètement cloisonné. Le lecteur et le dispositif de stockage sont alors totalement isolés dans l’appareil et ne laissent jamais s’échapper la moindre donnée biométrique, celle-ci n’étant même pas accessible au fabricant du smartphone. Tout ce que fait cet environnement cloisonné, c’est envoyer un oui ou un non, sous forme de token, au fournisseur d’application.

Les banques responsables de la fiabilité

Sauf qu’avec ce type de dispositif, il n’y a aucun moyen de vérifier que toutes les empreintes stockées dans l’appareil appartiennent bien à la même personne…

Nous allons exiger des banques qui offrent des applications accessibles via la biométrie qu’elles vérifient le niveau de fiabilité de la biométrie et qu’elles compensent, par d’autres mécanismes, les faiblesses de l’authentification qu’ils ont choisie. Par exemple, pour la Banque postale et Talk-to-Pay, nous leur avons demandé d’être extrêmement rigoureux sur le mécanisme qui permet d’identifier la personne qui va enrôler sa biométrie. Ils ont renforcé le système de contrôle d’identité qui précède pour être sûr qu’au moment où la biométrie est enregistrée, ils s’adressent bien à la bonne personne. Pour la Banque Postale, il y avait une facilité : le téléphone est enrôlé avec comme point de départ la rencontre physique avec le postier. Sinon il n’y aurait pas un manquement au niveau de la biométrie en tant que telle, mais il y aurait un manquement au titre de la sécurisation du traitement qui est fait via l’application. Au regard de la loi informatique et libertés et du GDPR [2] , la banque a obligation de prendre toute mesure permettant de sécuriser le traitement. Parmi ces mesures figure une méthodologie d’authentification forte qui permet de sécuriser le traitement et d’éviter que des tiers non autorisés aient accès à l’application.

Au Luxembourg, BNP Paribas Wealth Management a lancé MyBioPass, qui a obtenu l’autorisation et l’accord de votre homologue local. À quelle condition une banque qui a développé une application ayant obtenu l’accord d’un équivalent de la CNIL dans un autre pays d’Europe peut-elle la déployer en France ?

Jusqu’à l’entrée en application du règlement, il n’existe pas de procédure de mise en cohérence. La première question qu’une banque doit se poser est : est-ce que je peux être soumise à deux juridictions ? Comment le savoir ? En identifiant la structure qui va décider de mettre en place l’application, de sa finalité et des moyens mis en œuvre pour son fonctionnement. Dans le cas cité, même si cette application était proposée en France, du fait qu’elle a été conçue et décidée au Luxembourg, c’est le droit luxembourgeois qui s’applique et c’est l’autorité luxembourgeoise qui prend la décision. À l’avenir, avec le règlement européen, donc à partir de mai 2018, il y aura une procédure de mise en cohérence des décisions entre autorités de chaque État membre. En cas d’opposition, c’est le bureau européen réunissant l’ensemble des CNIL européennes, l’EBPD, qui tranchera.

Que va changer le nouveau règlement pour ce qui est de l’usage de la biométrie ?

Alors que la biométrie n’était pas visée en tant que telle par la directive, le règlement dit clairement que c’est une donnée sensible. Ce sont les principes du règlement qui s’appliquent, notamment, dans certains cas, le principe d’un consentement préalable et exprès de la personne pour tout usage de sa biométrie. Le règlement laisse aussi la possibilité aux États membres de poser des conditions supplémentaires à celles introduites par le règlement. Pour l’instant, nous n’avons pas vraiment de visibilité sur les conditions que pourrait envisager le législateur national. Un toilettage de la loi informatique et libertés est en cours pour pouvoir enlever tout ce qui se trouve déjà dans le règlement et qui est d’application immédiate, et maintenir certaines dispositions.

Le règlement permettra-t-il d’harmoniser la façon dont une application peut être validée sur les différentes CNIL ?

L’objectif premier du règlement est d’harmoniser l’ensemble des règles et la manière dont elles sont appliquées. Pour des banques qui souvent sont transeuropéennes ou mondialisées, c’est effectivement un gain non négligeable. Cela implique, au niveau de chaque CNIL européenne, un changement de culture, que nous avons déjà commencé à engager.