top of page

Biométrie au travail : se conformer aux réglementations grâce à la certification

Biométrie au travail : se conformer aux réglementations grâce à la certification

La biométrie regroupe toutes les techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques ou même comportementales (empreintes digitales, iris, voix ou visage). Cette technologie s’est rapidement imposée comme le moyen le plus pertinent d’identifier et d’authentifier les individus de manière fiable et rapide, en s’appuyant sur des caractéristiques biologiques uniques.


Les données biométriques s’appuient sur une réalité biologique permanente dont les individus peuvent difficilement se libérer. Contrairement à un badge ou à un mot de passe, il est impossible de se départir d’une caractéristique biométrique ou de la modifier, ce qui signifie que toute utilisation abusive ou détournement de telles données peut avoir de graves conséquences pour les droits et libertés des personnes.

Applications à l’environnement professionnel

De nos jours, la biométrie est intégrée à de nombreux aspects du quotidien professionnel requérant l’authentification des personnes pour accéder à des locaux, des ordinateurs ou des applications, en remplacement des mots de passe et des codes PIN. Les fournisseurs de services doivent donc anticiper et évaluer les risques de fraudes issus d’appareils perdus ou volés.

Afin de prévenir l’utilisation abusive des données biométriques, aux conséquences graves pour les droits et libertés des personnes, la CNIL a publié un règlement type spécifiant les obligations des organisations intéressées par l’acquisition de dispositifs biométriques pour contrôler certaines actions de leurs employés : à savoir l’utilisation d’appareils biométriques uniquement pour contrôler l’accès à leurs locaux, outils de travail informatiques et applications professionnelles.

Elle se réfère à trois types de gabarits en mettant l’accent sur celui de type 1 dit « sous maîtrise des personnes concernées » selon lequel « le salarié détient le seul support de stockage durable, par exemple sous forme de badge ou de carte à puce. L’entreprise ne stocke pas les données biométriques dans une base ». Celui-ci prime lorsque l’entreprise ne présente pas de circonstances particulières.

Régulation et gestion de la biométrie sur le lieu de travail

Par ailleurs, l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD), le 25 mai 2018, a profondément impacté le cadre juridique existant. La logique de l’autorisation préalable, et plus largement, celle des formalités administratives, a été remplacée par une logique de « responsabilité ». En effet, les organisations sont à présent responsables de la protection des données de leurs employés.


Dans ce cadre, la nature même des données biométriques a également évolué ; elles sont désormais appelées « données sensibles » par le RGPD : leur traitement est de fait interdit sauf s’il relève de l’une des exceptions limitées par la réglementation.Ces développements ont conduit la CNIL à concevoir et publier, en collaboration avec les organisations qui la concernent, des réglementations standard portant notamment sur le traitement des données biométriques.

Il ressort donc que « les enregistrements bruts de la caractéristique biométrique (photo du visage, empreintes, etc.) ne peuvent pas être conservés après leur traitement pour le calcul des gabarits.Les données biométriques dérivées ne peuvent être conservées que sous forme de gabarits chiffrés ne permettant pas de recalculer la caractéristique biométrique d’origine.

Les données doivent être supprimées en cas de cessation des fonctions de la personne concernée dans l’entreprise ou en cas de retrait de son habilitation. » Le règlement type « biométrie sur le lieu de travail », qui s’inscrit dans la continuité des positions antérieures de la CNIL dans ce domaine, aspire à aider les entreprises à utiliser la biométrie de manière intelligente, à justifier son utilisation, ainsi qu’à démontrer l’inefficacité d’autres modes d’authentification alternatifs jugés moins intrusifs.

Standardiser la biométrie


Les standards d’authentification définis par l’Alliance FIDO sont, dans le domaine de la biométrie, conformes aux exigences de la CNIL, et aux gabarits de type 1. Ces standards sont complétés par un programme de certification qui mesure et atteste de la sécurité et de la performance de solutions biométriques.

En effet, les organisations ont à présent besoin d’une assurance que les systèmes biométriques sur lesquels elles s’appuient – pour la reconnaissance des empreintes digitales, de l’iris, du visage et / ou de la voix – authentifient avec fiabilité les utilisateurs, détectent les attaques par présentation de contrefaçon et protègent efficacement les données biométriques enregistrées.

Ce programme pallie l’absence d’évaluation des systèmes biométriques au gabarit de type 1 alors que ces évaluations existent pour les solutions biométriques utilisées pour le contrôle aux frontières et le maintien de l’ordre.


Toutes les technologies d’authentification biométrique n’ont pas le même niveau, et l’absence de normes dans ce domaine est un problème de longue date.

Un programme de certification impartial accélère l’évaluation des solutions


Encore maintenant, dans la plupart des cas, les audits sont réalisés par des entreprises ayant la capacité de procéder à des examens de leurs systèmes biométriques. Un programme de certification indépendant, basé sur des tests de validation de la sécurité et des performances du système du fournisseur permet d’économiser beaucoup de temps et d’argent.


Un programme de certification impartial accélère l’évaluation des solutions pour les entreprises, mais facilite également l’adoption en garantissant le bon choix. Maintenant que les règles sont définies, les organisations ont la responsabilité de les respecter scrupuleusement afin que ces dispositifs ne constituent pas un obstacle à l’utilisation de la biométrie dans leurs locaux.

Le recours à la biométrie certifiée aidera les entreprises à se conformer et à bénéficier d’une méthode d’authentification bien plus sécurisée.

0 vue0 commentaire

Comments


bottom of page