C. LA BANALISATION DE L'USAGE DES TECHNIQUES BIOMÉTRIQUES
Dès son rapport d'activité pour 2005, la CNIL constatait une « réelle banalisation de la biométrie ». Le nombre des demandes d'autorisation présentées à la CNIL par la suite n'a pas démenti ce constat, loin de là.
Évolution des demandes d'autorisation
de mise
en oeuvre de dispositifs biométriques depuis 2004
Source : commission des lois à partir des données fournies par la CNIL
Votre rapporteur observe ainsi une augmentation massive des demandes d'autorisation à partir de 2006 , avec un pic en 2009, mais un recul notable en 2013, peut-être dû aux incertitudes nées de l'annonce par la CNIL d'une révision de sa doctrine. Il note également le rôle majeur des engagements de conformité à des autorisations uniques (AU) qui ne donnent pas lieu à examen a priori par la CNIL, seulement à des contrôles a posteriori , et sont donc tous autorisés : ils représentent en effet plus de 90 % des demandes d'autorisation. Les demandes d'autorisation spécifiques, au nombre de 443 au total, représentent donc moins de 10 % des demandes ; elles ont un taux d'acceptation de près de 77 %, soit un taux de rejet d'environ 23 %.
Statistiques sur les demandes d'autorisation
présentées à la CNIL
de 2004 au 10 mars
2014
Demandes d'autorisation |
Autorisations délivrées |
Refus |
||||
Année |
Nb de demandes entrant dans le champ d'une autorisation unique |
Nb total de demandes |
Nb d'autorisations « spécifiques » |
Nb d'autorisations via un engagement de conformité' à une AU |
Nb total d'autorisations délivrées |
Nb de refus |
2004 |
1 |
1 |
0 |
1 |
1 |
0 |
2005 |
8 |
45 |
30 |
8 |
38 |
5 |
2006 |
258 |
326 |
59 |
258 |
317 |
9 |
2007 |
399 |
465 |
45 |
399 |
444 |
21 |
2008 |
550 |
630 |
61 |
550 |
611 |
19 |
2009 |
676 |
747 |
68 |
676 |
744 |
3 |
2010 |
555 |
581 |
22 |
555 |
577 |
4 |
2011 |
595 |
631 |
28 |
595 |
623 |
8 |
2012 |
626 |
648 |
22 |
626 |
648 |
0 |
2013 |
357 |
385 |
5 |
357 |
362 |
12 |
2014 |
13 |
22 |
0 |
13 |
13 |
0 |
TOTAL |
4038 |
4481 |
340 |
4038 |
4378 |
81 6 ( * ) |
Source : commission des lois à partir des données fournies par la CNIL
La banalisation est également celle des usages qui, tout comme les techniques, ont connu une grande diversification . L'étude des principales délibérations prises par la CNIL au cours de ces années permet de relever certains de ces nouveaux usages :
- le contrôle d'accès physique à des locaux : autrefois réservé à l'accès à des locaux sensibles, il est désormais étendu à des cantines scolaires 7 ( * ) , des locaux de loisirs - salle de sport 8 ( * ) ou cercle de jeux 9 ( * ) -, ainsi que, par exemple, à des salles d'examen afin d'empêcher la substitution de candidat 10 ( * ) ;
- le contrôle d'accès logique à des services 11 ( * ) ou des applications 12 ( * ) ;
- la signature de documents électroniques 13 ( * ) ;
- la gestion de mots de passe 14 ( * ) ;
- le contrôle de la présence de travailleurs handicapés 15 ( * ) ;
- le contrôle d'accès à un équipement bureautique 16 ( * ) ;
- la gestion d'une carte de fidélité 17 ( * ) ;
- le contrôle de l'identité des patients pris en charge en radiothérapie 18 ( * ) ;
- l'accès à un dossier médical partagé 19 ( * ) .
Les organismes bancaires s'intéressent également à la biométrie afin de sécuriser les transactions financières, notamment les paiements en ligne ou sans contact, ou l'accès à des coffres forts numériques. Au cours des derniers mois, plusieurs expérimentations ont été autorisées par la CNIL dans ce secteur.
Ce bref aperçu non exhaustif permet de constater combien la biométrie pénètre peu à peu tous les domaines de la vie quotidienne , de l'école à l'entreprise, de la santé à la banque.
* 6 Ce chiffre correspond au nombre de refus délibérés en séance et notifiés : il ne compte pas les dossiers soumis à la CNIL puis « abandonnés » par les déclarants.
* 7 Cf . l'autorisation unique n° AU-009, adoptée par la délibération n° 2006-103 du 27 avril 2006.
* 8 Cf . la délibération n° 2009-311 du 7 mai 2009 (Centre de culture physique d'Aquitaine -reconnaissance du contour de la main).
* 9 Cf . la délibération n° 2010-469 du 16 décembre 2010 (CERCLE WAGRAM - reconnaissance du visage en trois dimensions exclusivement enregistrée sur un support individuel détenu par la personne concernée).
* 10 Cf . la délibération n° 2009-360 du 18 juin 2009 (Graduate Management Admission Council (GMAC) représenté par Pearson Education France - reconnaissance du réseau veineux de la paume de la main).
* 11 Par exemple, la délibération n° 2005-206 du 22 septembre 2005 (société Bloomberg L.P -reconnaissance de l'empreinte digitale - contrôle de l'accès logique à un service d'informations financières).
* 12 Exemple de la délibération n° 2011-325 du 13 octobre 2011 (société FACEO SECURITE PREVENTION - reconnaissance des empreintes digitales - accès à une application de main courante électronique d'un poste de sécurité).
* 13 Première autorisation : délibération n° 2006-232 du 17 octobre 2006 (société l'Oréal SA -reconnaissance des empreintes digitales).
* 14 Exemple de la délibération n° 2007-248 du 13 septembre 2007 (manufacture française de pneumatique Michelin - reconnaissance vocale).
* 15 Cf . la délibération n° 2008-038 du 7 février 2008 (Centre d'Aide au Travail - « le Vert Coteau » de Thionville - reconnaissance du réseau veineux).
* 16 Cf . la délibération n° 2010-085 du 25 mars 2010 (société Apave Parisienne - reconnaissance du réseau veineux des doigts - contrôle d'accès à des appareils de reprographie multifonctions).
* 17 Une seule autorisation délivrée à ce jour par la délibération n° 2005-115 du 7 juin 2005 portant autorisation de la mise en oeuvre par la Chambre de commerce et d'industrie de Nice-Côte d'Azur d'un traitement automatisé de données à caractère personnel ayant pour finalité la gestion d'une carte de fidélité impliquant l'utilisation d'un dispositif biométrique de reconnaissance des empreintes digitales.
* 18 La délibération n° 2012-236 du 12 juillet 2012 autorisant le Centre Oscar Lambret à mettre en oeuvre, à titre expérimental, un traitement automatisé de données à caractère personnel utilisant un nouveau dispositif biométrique de contrôle de l'identité des patients pris en charge en radiothérapie fait suite à une première délibération (n° 2010-033 du 11 février 2010).
* 19 Par exemple, la délibération n° 2012-445 du 6 décembre 2012 (établissement public de santé Maison Blanche, réseau santé mentale précarité - reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel sous le contrôle exclusif de son détenteur).