17 octobre 2017

Actualités juridiques

Touch ID d'Apple : légal ou pas légal?

23 sept 2013 à 18h22 par Christophe Landat


Apple a doté son dernier IPHONE (le 5S) d'un lecteur d'empreinte digitale permettant notamment d'éviter la corvée des mots de passe. L'entreprise californienne nous assure que les données biométriques ainsi collectées ne seront pas transférées hors du terminal et ne serviront donc pas à des fins commerciales... ou autre. La biométrie n'a rien de nouveau et la reconnaissance d'empreinte digitale a notamment déjà pu être aperçue  notamment sur des ordinateurs portables. Mais avec l'IPHONE pose assurément les bases d'une vulgarisation de cet outil et il n'est pas impossible qu'APPLE soit imité par  nombre de concurent dans les mois à venir. La CNIL a depuis longtemps eu l'occasion de bâtir ses recommandations sur le sujet. Pour un usage privé, si les données ne sont pas utilisées en dehors du terminal, il n'y a juridiquement pas vraiment de souci. En revanche, quid par exemple des entreprises qui envisagent en France d'équiper leurs personnels de l'IPHONE 5S?... 
"L'informatique doit être au service de chaque citoyen. Son développement doit s'opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques."

C'est en ces termes qu'est rédigé l'article 1er de la loi du 6 janvier 1978 communément appelée "loi informatique et libertés". Un principe sein pour ce vieux texte visionnaire qui restera sans doute d'actualité pour l'éternité. Avec la popularisation de la reconnaissance papillaire, on se tourne aujourd'hui à nouveau vers lui pour poser les bases d'une réflexion relative à un des questionnements juridiques posés par Touch ID.

En 2007 déjà la CNIL précisait que le recours à cette technologie devait  rester exceptionnel. Il convient cependant de replacer cet avis dans le contexte approprié : celui de l'utilisation de la biométrie dans le cadre du fonctionnement d'une entité (collectivité, entreprise, etc...). Mais rien n'interdit de songer que telle pourra bien être l'analyse si d'aventure une entreprise équipe demain ses employés de ce terminal. 

On devra alors s'interroger dans les équipes dirigeantes dès lors que l'éventualité, la possibilité de la constitution d'une base de données ou du stockage des données relatives à la biométrie embarquée sur l'IPHONE venait à voir le jour. La CNIL rappelle sur son site que "c'est en 1997 que la CNIL a examiné son premier dispositif biométrique avec enregistrement des empreintes digitales dans une base de données. Depuis, le nombre de demandes d'autorisation pour de tels systèmes ne cesse de croître. Sur 602 traitements biométriques examinés par la Commission en 2007, 53 reposaient sur la reconnaissance des empreintes digitales avec enregistrement de celles-ci dans une base de données : 21 ont été refusés, 32 autorisés (les 549 autres traitements concernaient essentiellement des systèmes de reconnaissance du contour de la main) (...)".

L'empreinte digitale est une donnée hautement sensible (comme les autres données biométriques) en ce sens qu'elle est propre à chaque personne et permet son identification directe. Des conditions strictes limitent donc sérieusement la mise en place de tels procédés au sein d'une organisation.

Quatre conditions sont posées qui ont trait à la finalité du procédé, à sa proportionnalité, à sa sécurité et aux informations des personnes concernées. Tous ces points doivent être sérieusement envisagés avant de pouvoir espérer avoir recours à des systèmes impliquant la constitution de base de données biométriques. 

Apple nous indique sur son site "(...)Touch ID vous permet d’enregistrer plusieurs empreintes, il reconnaîtra également les gens en qui vous avez confiance(...)". Les données biométriques reliant les empreintes aux personnes, une base de données existe donc au sein du terminal qui est susceptible de concerner plusieurs personnes différentes. On peut donc songer qu'il sera aisé pour un employeur de savoir qui a fait quoi avec le terminal dès lors qu'il a été déverrouillé par empreinte papillaire... ou pas! Si effectivement cette application n'est reliée à aucune autre fonctionnalité du smartphone. Affaire ici de technicien...

On ne saurait cependant trop recommander aux employeurs susceptibles d'utiliser l'IPHONE 5S au sein de leur entreprise d'être vigilant à l'usage qui sera fait des données du téléphone dès lors qu'il aura vocation à être utilisé par plusieurs utilisateurs différents. Et si d'aventure ils envisageait d'utiliser les données stockées dans l'appareil (si tant est que cela soit techniquement possible), mieux vaudra alors prendre connaissance de ce petit guide de la CNIL.

En conclusion on rappellera le champ d'application de la loi informatique et liberté du 6 janvier 1978, laquelle appartient à cette rare catégorie des textes relativement bien écrits et donc à peu près compréhensibles du commun des mortels. C'est son article 2 qui pose la règle :

"La présente loi s'applique aux traitements automatisés de données à caractère personnel, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans des fichiers, à l'exception des traitements mis en oeuvre pour l'exercice d'activités exclusivement personnelles, lorsque leur responsable remplit les conditions prévues à l'article 5. Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction. Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés. La personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement."

En attendant... j'ai commandé le mien!




 
 

Commentaires

Soyez le premier à poster un commentaire !

Ajouter votre commentaire

Identifiez vous pour poster un commentaire.