Biométrie dans les smartphones des particuliers : application du cadre de protection des données

24 juillet 2018

Dans un contexte de généralisation des mécanismes d’authentification biométriques sur les smartphones, la CNIL a clarifié les conditions dans lesquelles ces traitements de données biométriques sont soumis ou non aux obligations de protection des données. Elle rappelle que, dans tous les cas, le particulier doit garder la maîtrise de son gabarit.

Les principaux fabricants de téléphone ont introduit dans les derniers modèles de terminaux mobiles  un mécanisme d’authentification par empreinte digitale, en complément du code d’accès. Ces dispositifs permettent notamment de simplifier le déverrouillage des smartphones.

Intégrées par défaut dans les appareils, ces fonctionnalités biométriques sont utilisées par de nombreux fournisseurs d’application ou de services en ligne, notamment pour l’authentification avant un paiement.

Dans ce contexte, la CNIL a analysé la configuration de différents dispositifs du marché au regard de la réglementation et de sa doctrine en matière de biométrie.

Deux types de dispositifs :

La reconnaissance biométrique intégrée dans ces appareils peut fonctionner selon deux typologies de configuration, qui n’engendrent pas les mêmes risques pour la vie privée des particuliers, ni le même encadrement juridique :

  1. Les dispositifs biométriques dont le gabarit est stocké dans l’appareil, sous le seul contrôle du particulier.

De nombreux appareils mobiles intègrent des dispositifs biométriques fonctionnant de manière autonome, dans un environnement totalement cloisonné au sein de l’appareil qui empêche que les données biométriques en elles-mêmes ne soient accessibles à l’extérieur de l’enclave.

Dans ces cas, le gabarit biométrique est enregistré dans l’appareil, dans une sorte de « boîte » hermétique, et ne sort jamais de cette « boîte ».

En pratique, lorsque l’utilisateur s’authentifie, le doigt posé sur le lecteur de l’appareil est comparé avec le gabarit biométrique préalablement enregistré.

Le service ou l’application qui utilise ce mode d’authentification ne reçoit qu’une information sur la réussite ou l’échec de la comparaison entre le doigt présenté et le gabarit.

Dans ces cas, la CNIL considère que les traitements mis en œuvre à l’initiative et sous le seul contrôle de la personne concernée, peuvent être couverts par l’exemption domestique inscrite à l’article 2-2-c du RGPD.

  1. Les dispositifs biométriques fonctionnant depuis des serveurs distants

Dans d’autres cas, les dispositifs d’authentification basés sur la reconnaissance biométrique fonctionnent en interaction avec des serveurs distants maîtrisés par un organisme tiers, quels qu’il soient.

L’organisme en question (qu’il s’agisse du fournisseur de l’application, de l’appareil, etc.) doit alors effectuer une analyse d’impact relative à la protection des données (AIPD). Le traitement de données envisagé est en effet susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées compte tenu notamment de la sensibilité des données traitées et du caractère innovant des technologies employées.

Cette analyse d'impact (AIPD) devra être transmise à la CNIL pour consultation si le niveau de risque résiduel reste élevé.


Les dispositifs d’authentification biométrique pouvant relever de l’exemption domestique

(Article 2 du règlement européen sur la protection des données)

Le recours à un dispositif de reconnaissance biométrique intégrée à un appareil n’est pas soumis aux obligations prévues par le RGPD, dès lors que sont satisfaits les critères suivants :

  1. l’utilisateur utilise ce dispositif à titre privé, grâce à ses propres données biométriques, pour déverrouiller son téléphone ou pour accéder à des applications qu’il a téléchargées de son propre chef ;
  2. l’utilisateur décide seul d’utiliser l’authentification biométrique intégrée dans son appareil :
  • Cela exclut toute authentification biométrique imposée par un employeur, notamment si l’appareil lui a été fourni dans le cadre de ses activités professionnelles.
  • Cela implique que les fournisseurs d’application proposent un mode d’authentification alternatif à la biométrie (par exemple la saisie d’un code), sans contrainte additionnelle. Si le fournisseur d’application ne propose que l’authentification biométrique, le traitement de données correspondant relève de la responsabilité du fournisseur et est soumis aux dispositions du RGPD.
  1. le gabarit biométrique est stocké dans l’appareil, dans un environnement cloisonné et n’est pas accessible ou transmis à l’extérieur :

  • Cela exclut les dispositifs biométriques envoyant le gabarit dans une base de données distante.
  • Il exclut aussi toute possibilité d’intervention d’un organisme extérieur (fournisseur de l’appareil ou d’une application par exemple) sur les données biométriques.
  1. le gabarit biométrique est stocké dans l’appareil de manière chiffrée à l’aide d’un algorithme cryptographique et d’une gestion des clés conformes à l’état de l’art ;
  2. lors du contrôle d’accès, seul un jeton ou une donnée indiquant la réussite ou l’échec de la reconnaissance de la biométrie présentée est transmis.

 Les dispositifs fonctionnant dans ces conditions intègrent par défaut des mécanismes protecteurs de la vie privée :

  • la donnée biométrique ne risque pas d’être récupérée et détournée par un organisme extérieur si elle reste dans un « compartiment » fermé, à l’intérieur de l’appareil, et si cet appareil reste sous le contrôle de son utilisateur.
  • le choix de recourir à l’authentification biométrique appartient au principal intéressé et n’est pas lié à une contrainte extérieure.

Le fournisseur d’une application ou d’un service recourant à ce type de dispositif n’est pas responsable du traitement de données biométriques correspondant, mais reste responsable du traitement mis en œuvre par son application et notamment de la sécurité de son application.

À ce titre, il doit s’assurer de la fiabilité de la solution d’authentification biométrique avec laquelle son application peut échanger en vérifiant :

  1. que les taux de faux positifs et de faux négatifs propres à la solution biométrique utilisée soit adaptés au niveau de sécurisation du contrôle d’accès souhaité (par exemple, une application ou un service sensible, pour lequel un contrôle d’accès strict est nécessaire, nécessitera un taux de faux positifs très faible) ;
  2. que la solution biométrique utilisée repose sur un capteur résistant aux attaques considérées comme triviales en l'état de l'art (telles que, à l'heure actuelle, l’utilisation d’une photographie pour duper la reconnaissance faciale ou l’utilisation d’une empreinte imprimée à plat pour la reconnaissance d’empreinte digitale) ;
  3. que le nombre d’essais d’authentification soit limité.

Les dispositifs biométriques proposés aux particuliers soumis au RGPD

Lorsque le dispositif de reconnaissance biométrique proposée à la personne sur son appareil fonctionne en interaction avec des serveurs distants maîtrisés par un organisme tiers, l’organisme doit respecter les obligations prévues par le RGPD :

  • s’il est le décideur de la mise en place de l’authentification biométrique dans un contexte donné ;
  • s’il maîtrise en tout ou partie les moyens de traitement biométriques (par exemple, un lecteur biométrique ou une base permettant de stocker le gabarit).

L’organisme doit notamment examiner si le traitement de données personnelles envisagé est susceptible d'engendrer un risque élevé pour les droits et libertés des personnnes et procéder, dans un tel cas, à une analyse d’impact relative à la protection des données (AIPD). Il devra notamment tenir compte de la sensibilité des données traitées et du caractère innovant des technologies employées. L'AIPD doit être transmise à la CNIL pour consultation si le niveau de risque résiduel reste élevé.

La donnée biométrique est une donnée sensible dont le détournement emporte des conséquences irréversibles pour les personnes concernées.

L’AIPD doit comporter la description des mesures techniques prises pour protéger la confidentialité des gabarits.

La CNIL estime que l’organisme doit privilégier, en tout état de cause, les systèmes permettant de préserver la maîtrise de l’utilisateur sur son gabarit. En effet, elle retient que le stockage et la centralisation de plusieurs données biométriques dans un même serveur ne peut se faire que dans des conditions très strictes, qui nécessitent une analyses au cas par cas.

Exemples de dispositifs autorisés par la CNIL

Dans le cadre de l’instruction des demandes d’autorisations reçues avant l’entrée en application du RGPD, la CNIL vérifiait notamment les moyens techniques mis en œuvre pour :

  • préserver le contrôle de l’utilisateur sur ses données biométriques,
  • respecter sa liberté de choix,
  • limiter au minimum les risques pour sa vie privée (usurpation ou détournement).

La CNIL a autorisé La Banque Postale à mettre en place un traitement de reconnaissance vocale permettant de déclencher le pré-remplissage de formulaire de paiement en ligne. Ce dispositif, proposé de manière alternative à la saisie d’un code à usage unique, s’ajoute à d’autres mécanismes de contrôle de l’identité du titulaire de la carte bancaire. De plus, la voix est stockée dans les serveurs de la Banque Postale sous une forme chiffrée au moyen d’une clé ou d’un secret placé sous le seul contrôle de la personne concernée. Dans ces conditions, la voix conservée en base est inexploitable sans l’accord de la personne, que ce soit par La Banque Postale ou par des tiers.  La Banque Postale recueille le consentement libre de ses clients pour utiliser leur biométrie, compense les faiblesses de ce mode d’authentification en l’adossant à d’autres vérifications de l’identité de ses clients et la traite dans des conditions limitant les risques de détournement.

Pour plus d’information, consulter la Délibération n° 2016-037 du 18 février 2016 autorisant La Banque Postale à mettre en œuvre un système d’authentification des titulaires de cartes bancaires par reconnaissance vocale. (Demande d’autorisation n° 1842385).

De même, la CNIL a autorisé la mise en place d’un service d’authentification biométrique par l’association Natural Security Alliance accessible depuis une application à télécharger sur les smartphones. Le gabarit du doigt des personnes est stocké sous forme chiffrée, chaînée et révocable dans l’application et peut être ensuite comparé, via une communication sans contact, avec le doigt apposé sur des lecteurs biométriques distribués par l’association à différents opérateurs souhaitant utiliser ce type d’authentification. L’ensemble du dispositif a été conçu pour préserver le contrôle de l’utilisateur sur ses données biométriques, respecter sa liberté de choix et limiter au minimum les risques pour sa vie privée.

Pour plus d’information, consulter la Délibération n° 2016-212 du 7 juillet 2016 autorisant l’association Natural Security Alliance à mettre en œuvre un système d’authentification biométrique basé sur la détention d’un ordiphone ou d’un support individuel contenant une application, placé sous le contrôle des personnes concernées, aux fins d’accès à des services