Le contrôle des présences à l’aide des empreintes digitales

Le contrôle des présences au poste de travail s’effectue aujourd’hui de plus en plus à l’aide de logiciels de traitement des empreintes digitales. Si le stockage centralisé des empreintes digitales est problématique au niveau de la protection des données, celui des seules minuties associées à l’identité l’estbeaucoup moins, à condition toutefois que des mesures de sécurité soient appliquées. Toutefois, la solution du stockage des données biométriques dans une carte à puce à usage exclusif, présentée par chaque employé lors du timbrage, représente une solution plus proportionnée et donc conforme à la législation sur la protection des données.

Une entreprise active dans la région genevoise nous a soumis la question de la compatibilité du traitement d’empreintes digitales pour le contrôle des présences avec la protection des données. Il s’agissait en particulier d’examiner si le recours à la biométrieest justifié et proportionné au regard de l’objectif poursuivi. Nous sommes arrivés aux conclusions suivantes:

Le contrôle des présences et des accès au poste de travail s’effectue aujourd’hui de plus en plus à l’aide de logiciels. Ces logiciels peuvent s’intégrer dans les environnements bureautiques, permettant parfois même la consultation de leurs données par d’autres logiciels. Les logiciels de gestion des présences, dont les accès sont généralement protégés par des mots de passe, peuvent saisir, outre les catégories de données classiques (nom, prénom, département ou unité, adresse, horaires de travail, etc.), les opérations ou les mouvements particuliers (accès à l’intérieur de l’entreprise, utilisation de véhicules, etc.) Avec certains logiciels, le traitement des données est effectué au moyen des empreintes digitales des employés. Dans une première phase, l’empreinte du doigt est numérisée et analysée afin d’en extraire les minuties, c’est-àdire certaines caractéristiques du doigt, telles que les endroits où apparaît une bifurcation ou une terminaison des crêtes et les sillons tracés sur la surface du doigt. Ensuite vient la phase d’authentification, durant laquelle le système autorise ou refuse l’accès, selon le résultat de la comparaison des minuties du doigt présenté avec l’échantillon de référence. En principe, l’authentification seule peut suffire à accorder l’accès requis à une personne qui conserve alors son anonymat. Dans le cas du pointagedes présences, l’identification des personnes est par contre nécessaire. Pour ce faire, nous recommandons l’usage d’un identifiant présenté par chaque employé lors du timbrage, plutôt qu’une comparaison sur la base d’une collection centralisée de minuties de référence associées aux identités correspondantes.

Les empreintes digitales, de même que les minuties qui en sont extraites, représentent des données biométriques statiques. Elles ne varient pas au cours du temps et sont inhérentes à la personne concernée, en manifestent l’originalité et ne peuvent en principe être usurpées. Sans association avec l’identité, les éléments biométriques ne représentent pas des données personnelles. Avec association de l’identité, les empreintes digitales sont au contraire des données sensibles, car elles peuvent déterminer l’appartenance raciale (ce qui n’est pas le cas des minuties). Dans ce dernier cas, une base de données est constituée et celle-ci est soumise aux dispositions de la loi fédérale sur la protection des données. Les données biométriques ne peuvent être traitées que sur la base d’un motif justificatif ou, si le maître du fichier est un organe fédéral, si une base légale le prévoit. Faute de motif justificatif, un tel traitement constitue une atteinte illicite à la personnalité, la personne concernée perdant, par l’action abusive d’un tiers, le contrôle sur ses propres empreintes digitales.

Le traitement de minuties associées à l’identité requiert la mise en place de mesures de sécurité adéquates, telles que le chiffrement des données impliquées. La protection doit s’étendre à tous les stades du traitement, y compris au stockage, à la comparaison et à la transmission des données personnelles. Le but du traitement des données doit être communiqué aux personnes concernées. En outre, l’employeur devrait consulter les employés avant d’introduire une telle mesure.

L’individualité et l’immuabilité des empreintes digitales ne permettent généralement pas une utilisation de celles-ci par des tiers. Par conséquent, les systèmes d’authentification biométrique réduisent fortement le risque de duplication, de vol, d’oubli ou de perte, comme cela peut être le cas avec les cartes ou badges de timbrage classiques. Ils représentent donc des moyens d’identification très efficaces, même si, dans de rares cas, les systèmes acceptent des photocopies d’empreintes digitales, des moulages de doigts ou des doigts morts. Le résultat de la comparaison des minuties étant basé sur des probabilités, une authentification erronée ne peut pas être exclue. Si les refus indus posent problème, les acceptations indues sont bien plus problématiques et nécessitent un contrôle complémentaire par le biais d’un numéro personnel d’authentification (PIN) ou d’un mot de passe. En outre, les empreintes digitales d’un doigt peuvent être altérées de manière provisoire ou durable, par exemple par un produit détergent ou une blessure. Pour cette raison, il est conseillé de recueillir des échantillons de référence de différents doigts de la même personne, afin de permettre l’authentification en cas d’altération d’une empreinte digitale. De plus, la reconstruction partielle ou complète d’une empreinte digitale à partir des minuties ne peut pas être complètement exclue. Bien que la perte de valeur probante des empreintes digitales suite à un abus représente un risque mineur, les spécialistes plaident incontestablement pour une utilisation très restrictive des empreintes digitales dans le domaine privé.

Dans le domaine privé et en particulier dans le domaine du travail, il est légitime de traiter des données personnelles à des fins de contrôle des présences. Dans certaines situations, ces données peuvent également servir au contrôle des mouvements à l’intérieur de l’entreprise (locaux avec accès limité et devant être sécurisés). Le recours à la biométrie garantit la fiabilité des données relatives aux présences des employés; en effet, la manipulation de ces données par l’employé n’est guère possible. Le risque qu’une base de données contenant des minuties d’empreintes digitales puisse être détournée de sa finalité est également très faible. En effet, on ne peut que très difficilement reconstituer l’image de l’empreinte digitale complète à partir des minuties. En outre, le risque de couplage de bases de données par des éléments biométriques est faible, car les algorithmes d’extraction des minuties ne sont à ce jour pas standardisés. D’ailleurs, un tel couplage serait relativement aisé à l’aide des éléments classiques de l’identité associés à ces données. Dès lors, la seule prévention contre des couplages qui permettraient d’établir des profils de personnalité réside dans la limitation des autorisations de couplage de ces bases de données.

En conclusion, si le stockage centralisé des empreintes digitales peut être problématique au niveau de la protection des données, le stockage centralisé des seules minuties (associées à l’identité) l’est bien moins, à condition toutefois que les mesures de sécurité prévues par la LPD soient appliquées. La prise d’empreinte, suivie de l’extraction des minuties, puis de la comparaison avec l’échantillon de référence présenté par l’employé (authentification), est manifestement la solution qui comporte le moins de risques pour la personnalité. En d’autres termes, le traitement de l’échantillon de référence dans une carte à puce à usage exclusif présentée par chaque employé lors du timbrage représente une solution plus proportionnée et donc compatible avec la législation sur la protection des données.

[juillet 2005]

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/12e-rapport-d-activites-2004-2005/le-controle-des-presences-a-laide-des-empreintes-digitales.html