Informatique et libertés : Biométrie et smartphone, recommandations de la Cnil

Dans une publication du 8 mars 2017, la Cnil a précisé les hypothèses dans lesquelles l’utilisation d’un dispositif de biométrie intégré à un smartphone nécessitait l’obtention de l’autorisation de la Cnil.

Sur le fondement de l’exemption domestique prévu par l’article 2 de la loi Informatique et libertés, la Cnil a précisé que lorsqu’un organisme utilise un dispositif de reconnaissance biométrique intégré dans un appareil, aucune autorisation préalable n’est nécessaire, dès lors que :
• L’utilisateur utilise ce dispositif à titre privé grâce à ses propres données biométriques ;
• L’utilisateur décide seul d’utiliser l’authentification biométrique, ce qui implique que le fournisseur de l’application propose un mode d’authentification alternatif ;
• Le gabarit biométrique est stocké dans l’appareil, dans un environnement cloisonné et n’est pas accessible ou transmis à l’extérieur ;
• Le gabarit biométrique est stocké dans l’appareil de manière chiffrée à l’aide d’un algorithme cryptographique et d’une gestion des clés conformant à l’état de l’art ;
• Lors du contrôle de l’accès, seul un jeton ou une donnée indiquant la réussite ou l’échec de la reconnaissance de la biométrie présentée est transmis.

En revanche, lorsque le dispositif de reconnaissance biométrique fonctionne en interaction avec des serveurs distants maîtrisés par un organisme tiers, l’organisme doit effecteur une demande d’autorisation auprès de la Cnil.