Dispositif biométrique de Type 1

A des fins de lisibilité et d’effectivité, le règlement-type de la CNIL sur la biométrie distingue trois grands types de dispositifs biométriques.  Le « type 1 » ou gabarit sous maîtrise exclusive de la personne concernée. Dans le type 1, les supports de stockage des gabarits sont individuels (un support donné ne peut contenir qu’un seul gabarit) et détenus par chaque salarié concerné lui-même (sans qu’aucune copie ne soit conservée par l’employeur ou les prestataires techniques).

Concrètement, il peut s’agir d’une carte ou d’un badge équipés d’une puce sur laquelle le gabarit est stocké. Ce support est remis au salarié qui doit alors le présenter lors du contrôle d’accès en même temps que la caractéristique biométrique enregistrée : le dispositif va alors comparer le gabarit stocké sur ce support à la caractéristique biométrique (iris, empreinte digitale, etc.) présentée au terminal du dispositif. Le recours à ce type de dispositif permet l’identification et l’authentification des salariés, tout en limitant le risque d’accès non-autorisé à leurs données biométriques : dans la mesure où il n’existe pas de base de données centralisée des gabarits biométriques de l’ensemble des employés, il est impossible de la pirater.

Le « type 2 » ou gabarit sous maîtrise partagée

Dans ce schéma, une base de données contenant les gabarits de l’ensemble des employés, existe. Toutefois, ces données sont chiffrées de manière à ce qu’aucune donnée ne puisse être lue et exploitée sans l’intervention de l’individu concernée. Pour cela, chaque individu se voit attribuer un élément personnel (une information, par exemple un code, ou un objet comme par exemple un badge) qui doit être présenté au dispositif au moment de l’authentification. A supposer qu’une telle base de données soit compromise (par exemple, suite à une attaque externe ou une fuite de données en interne), le risque pour les personnes concernées de voir leurs données biométriques exposées demeurera très faible car les données seront illisibles.

Le « type 3 » ou gabarit sous maîtrise exclusive du responsable de traitement

Dans cette hypothèse, les gabarits de l’ensemble des salariés sont conservés dans une base de données centralisée. Le salarié n’a aucune maîtrise sur le support du stockage, et n’a pas à communiquer au dispositif un secret permettant de déchiffrer le gabarit. Si cette solution présente certains avantages opérationnels (pas de code à mémoriser ou de badge à porter pour le salarié), ils sont assortis de risques particulièrement importants pour les droits et libertés des salariés. L’existence d’une base centralisée rend en effet possible une fuite de ces données, fuite qui peut potentiellement exposer de manière irréversible des données biométriques des personnes concernées.

Conseil de la CNIL

Dans la mesure où le stockage de type 1 garantit au mieux les droits et libertés des personnes concernées, c’est sous cette forme-là que les gabarits doivent par principe être conservés. En effet, le recours aux autres modalités de stockage (type 2 et 3) doit rester exceptionnel et justifié par des considérations spécifiques et étayées. De telles justifications peuvent notamment concerner des environnements critiques dans lesquels la perte d’un badge ou d’un code aurait des conséquences particulièrement graves pour le déroulement des opérations, notamment en cas d’urgence (ex. : centrales nucléaires, blocs opératoires…), des « chambres blanches » (notamment les laboratoires stériles, les entreprises assujetties à une réglementation spécifique visant à limiter les risques de contamination dans la chaîne de production alimentaire), etc.