De nos jours, on considère le fait de déverrouiller notre smartphone grâce à la reconnaissance faciale ou au lecteur d’empreintes digitales comme un geste tout à fait anodin. Et pourtant, le fait d’entrer nos données biométriques pour nous connecter implique le fait de « déposer » des données à caractère personnel sur le Web, avec les risques que cela comporte. C’est dans ce cadre que la CNIL ou Commission Nationale de l’Informatique et des Libertés a publié le 28 mars 2019, un règlement type s’adressant aux organismes qui utilisent l’authentification pour l’accès des utilisateurs à leurs applications et autres outils de travail, pour protéger la vie privée des utilisateurs. Focus.
La biométrie, c’est quoi ?
Définition
Littéralement, on désigne par « biométrie » la mesure du vivant via les données morphologiques. Ce domaine inclue l’agronomie, l’écologie ou encore la médecine. Mais actuellement, ce terme est relié aux techniques de reconnaissance, d’authentification et d’identification pour la protection de la vie privée. Dans l’analyse morphologique, on peut distinguer deux moyens biométriques principaux :
- Les empreintes digitales, le contour de la main
- L’iris de l’œil pour l’identification faciale ou face ID.
Les données biométriques
Elles regroupent toutes les caractéristiques physiques d’un individu. Les données biométriques sont propres à chaque individu, et servent notamment à accéder à la plupart des connexions hebdomadaires (identification biométrique). Elles incluent par exemple notre voix pour les commandes vocales (empreinte vocale), l’iris pour la reconnaissance faciale et les empreintes digitales. Considérées comme plus sûres que les mots de passe, elles sont également plus pratiques car il suffit de pose votre doigt sur votre écran ou de diriger celui-ci vers votre visage pour avoir accès à ce dont vous avez besoin.
Les données biométriques et la confidentialité
Le risque inhérent au traitement des données biométriques
Les données personnelles liées morphologie sont un couteau à double tranchant. En effet, elles servent à mieux sécuriser nos données et a contrario, elles peuvent être utilisées par les géants technologiques de mauvaise foi, à des fins commerciales ou dans le pire des cas, être subtilisées par des hackers qui auront alors accès à toutes vos données importantes et sensibles pour usurper votre identité et tromper le système. Pour en savoir plus les données biométriques et les smartphones, on peut lire l’article de DPO Consulting sur le sujet.
La protection des données dans les smartphones des particuliers
Peu des smartphones actuels ne proposent pas la reconnaissance biométrique comme mesure de sécurité et d’authentification, en complément du mot de passe classique. Mais un des points délicats est que ces fonctionnalités servent également à des fournisseurs en ligne, car elles authentifient l’identité avant le paiement d’un service. Donc, si un pirate parvient à subtiliser ces données, il pourra usurper l’identité de la personne concernée et perpétrer des actes criminels. Et c’est la raison d’être du RGPD ou Règlement Général sur la Protection des Données, un règlement européen qui exige la protection des données des personnes physiques. Les dispositifs d’authentification d’exemption domestiques ne sont pas soumis aux obligations de ce règlement, car l’utilisateur n’est pas imposé par un employeur dans l’utilisation de l’authentification biométrique, il le de son propre gré et sans contrainte.
La protection des données sur des dispositifs biométriques fonctionnant avec des serveurs distants
Si vous utilisez un fournisseur de service qui nécessite que vous renseignez vos données biométriques pour l’authentification, ce fournisseur devra faire une analyse d’impact relative à la protection des données (AIPD), dont le résultat sera transmis à la CNIL afin qu’une consultation soit faite en cas de niveau de risque élevé pour les droits et les libertés des utilisateurs.
Protégez vos données
En complément de l’encadrement juridique, il est possible de prendre ses propres précautions pour préserver ses données privées :
- Privilégier le stockage des données sur un support individuel plutôt que dans une base centralisée, une protection contre la divulgation des données
- Crypter les données par le « hashage ». Cela consiste à crypter les données avant de les enregistrer : à sens unique, les données biométriques sont transformées en code mathématique, inutilisable pour une personne qui n’a pas la combinaison de données supplémentaires pour le décrypter. Une solution pratique pour une connexion sécurisée.
