La protection des données personnelles et l’utilisation des données biométriques dans les services financiers

Les données biométriques sont des données dites sensibles dans la loi française et dans le règlement communautaire qui s'appliquera directement sur le territoire de l'Union à compter du 25 mai 2018 (Règlement général relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGDP ou GDPR), adopté par le Parlement européen et le Conseil le 27 avril 2016 avec une date d'entrée en application différée au 25 mai 2018).

L'encadrement strict du traitement de ce type de données en France évolue au regard des avancées technologiques comme l'illustrent les autorisations les plus récentes accordées par la CNIL (1), offrant de nouvelles perspectives aux responsables de traitement (2).

1. Cadre règlementaire

En France, l'utilisation de données biométriques pour vérifier l'identité d'une personne doit être autorisée par la Commission nationale de l'Informatique et des libertés (CNIL) avant la mise en œuvre du traitement (Article 25-II, 8° de la loi du 6 janvier 1978 modifiée dite loi « Informatique et Libertés » (LIL). Dans le secteur public, cette autorisation doit être délivrée par décret en Conseil d'Etat, pris avis motivé de la CNIL publié au Journal officiel (Loi « Informatique et Libertés », art. 27-I, 1°).

Pour les cas les moins sensibles et les plus fréquents, il est possible d'obtenir de la CNIL une autorisation par l'intermédiaire d'un régime simplifié dit « d'autorisation unique » (Loi « Informatique et Libertés », art. 25-II). En pratique, après l'adoption d'un cadre de référence par la CNIL, les responsables de traitement peuvent lui transmettre des engagements de conformité et obtenir une autorisation en quelques jours.

Dans ce cadre simplifié, l'organisme doit principalement s'assurer que le traitement répond aux exigences du cadre de la CNIL en termes de finalités, de données, de destinataires, de durées de conservation, d'information ou de mesures de sécurité et veiller à ne pas s'en écarter.

En matière de biométrie, ce régime peut aujourd'hui concerner le contrôle d'accès sur les lieux de travail (locaux, ordinateurs et applications) (Délibération n°2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique (AU-O52) ; Délibération n°2016-187 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, reposant sur une conservation des gabarits en base par le responsable du traitement (AU-053) ou l'accès à un restaurant scolaire (Délibération n°2006-103 du 27 avril 2006 portant autorisation unique de mise en œuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire (AU-009)).

Pour les traitements biométriques non couverts par une autorisation unique, les responsables de traitement doivent obtenir une autorisation « classique » de la CNIL.

Dans ce contexte, le responsable du traitement, après avoir transmis le formulaire CERFA numéro 13786*03 et ses annexes dument renseigné, doit s'attacher à démontrer la pertinence et la proportionnalité du dispositif, le cas échéant, en répondant aux interrogations du juriste en charge du dossier généralement assisté d'un ingénieur. A l'issue de la phase d'instruction, la formation plénière de la CNIL rend alors sa décision par délibération publiée au Journal officiel.

Si la loi prévoit un délai de deux mois pour que la Commission se prononce sur une demande d'autorisation, avec une faculté de prorogation de deux mois sur décision motivée de son Président, dans les faits la procédure nécessite en général un délai supérieur en fonction de la complexité du dossier.

- Une doctrine restrictive de la CNIL récemment revue

La CNIL a toujours adopté une approche restrictive en matière de biométrie, notamment en raison de la crainte d'une banalisation d'une technologie qui pourrait faciliter un fichage de la population à grande échelle, de risques irréversibles en cas de perte de données qui sont uniques et permanentes puisque issues de caractéristiques physiques, biologiques ou comportementales non susceptibles d'évolution.

Pour répondre à ces inquiétudes, la CNIL avait élaboré à partir de 2006 une doctrine qui différenciait les traitements biométriques en fonction de la technologie utilisée, fondée sur une distinction des biométries dites « à traces » (Empreinte digitale, contour de la main …) ou « sans traces » (Réseau veineux, voix, frappe au clavier, ...), qui prévoyait des exigences plus fortes pour la première de ces catégories. La centralisation des données biométriques « à trace » n'était par exemple possible qu'en présence d'un « fort impératif de sécurité » qui devait dépasser les seuls intérêts du responsable de traitement.

Les évolutions technologiques qui permettent aujourd'hui de collecter facilement des « traces biométriques numériques » (Par exemple la trace numérique d'un visage, d'une voix, du réseau veineux …), et donc d'effacer les frontières entre les deux types de biométries, ont rendu caduques cette distinction et poussé la CNIL à revoir sa doctrine.

- De nouvelles exigences

Le 30 juin 2016, la CNIL a adopté deux nouvelles autorisations uniques qui encadrent désormais l'ensemble des dispositifs biométriques, quel que soit le type de biométrie utilisé.

Le nouveau cadre général adopté par la CNIL distingue :
- les dispositifs offrant aux individus la maîtrise de leurs données dans lesquels les données biométriques doivent être stockées sur un support détenu par les individus concernés ou, à condition que les données soient inexploitables sans un secret détenu ces derniers, éventuellement dans une base centralisée (Autorisation unique n°52) ;
- les dispositifs ne garantissant pas aux individus la maîtrise physique de leurs données biométriques, qui sont soumis à des conditions spécifiques dans la mesure où l'organisme doit documenter les mesures prises pour répondre aux exigences de la CNIL (dispositif ne pouvant être remplacé par un système non biométrique, justification du besoin de centralisation, mesures de sécurité renforcées)( Autorisation unique n°53).

Au-delà des conditions de mises en œuvre restrictives attachées aux dispositifs impliquant une base centralisée, on peut également constater que la CNIL exige d'ores et déjà dans son autorisation unique n°53 que le responsable du traitement documente la conformité de son traitement sous la forme d'une analyse d'impact relative à la protection des données, marquant en cela une application anticipée du Règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGDP).

2. Une expérimentation biométrique récemment autorisée dans le secteur bancaire

- Une démarche nouvelle du régulateur

Si la doctrine de la CNIL dans le domaine de la biométrie traduit toujours de fortes inquiétudes et une volonté de ne pas favoriser le développement massif de cette technologie sensible, on constate néanmoins un changement d'attitude du régulateur qui semble plus ouvert vers l'évolution technologique.

Le 27 avril 2017, la CNIL a en effet autorisé neufs banques à mettre en œuvre, à titre expérimental, un dispositif d'authentification de certains de leurs clients par un système de reconnaissance vocale, justifié par le souhait de lutter contre l'usurpation d'identité tout en simplifiant l'authentification des clients.

Avec cette démarche nouvelle dans le secteur de la biométrie, la CNIL a souhaité tester l'appétence des clients pour cette technologie ainsi que sa fiabilité. Du point de vue de la protection des données, la CNIL considère que « ces expérimentations constituent des opportunités de tester le niveau global de risques en matière de sécurité et de confidentialité des données ».

Les établissements bancaires, au même titre que les autres secteurs d'activité, souhaitent en effet s'appuyer sur ces technologies pour renforcer la sécurité des transactions et offrir à leurs clients de nouveaux outils plus confortables que la saisie d'un mot de passe ou la réponse à des questions dites « de sécurité ».

- Les conditions posées par la CNIL

La Commission a considéré que les neufs projets qui lui avaient été présentés respectaient ses exigences en matière d'expérimentation, à savoir :
- le recueil préalable du consentement des clients concernés,
- une expérimentation pour un temps limité,
- un périmètre restreint en termes de nombres de personnes (périmètre géographique, profession, …) et d'opérations (consultation des comptes, opérations bancaires à distance),
- une réversibilité (possibilité de recourir à un moyen d'authentification alternatif classique),
- des garanties fortes en matière de confidentialité des données (destinataires habilités et mesures techniques),
- présenter à la CNIL un bilan à l'issue de expérimentation pour qu'elle puisse apprécier les résultats de l'expérience, les avis des utilisateurs et déterminer les suites à y donner.

De nouvelles perspectives d'authentification ?

Ces expérimentations en cours dans le secteur bancaire peuvent ouvrir la porte au déploiement de projets innovants dans le secteur financier dans un avenir proche.

Il apparait désormais possible d'imaginer présenter à la CNIL des systèmes d'authentification forte, qui sont d'ailleurs parfois exigés par des règlementations financières spécifiques telles que la directive « Services de paiement 2 » (Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n°1093/2010, et abrogeant la directive 2007/64/CE), pour obtenir une autorisation de mise en œuvre justifiée par l'utilisation d'une technologie biométrique visant à authentifier les utilisateurs concernés.

Cette possibilité impliquera nécessairement d'engager un dialogue constructif avec le régulateur et de prendre en compte ses remarques et exigences, mais la possibilité semble réelle de proposer des services biométriques innovants, sous réserve d'être en mesure de démontrer leur pertinence et leur proportionnalité.