Système de reconnaissance biométrique pour la réservation d’espaces sportifs

Un club de tennis a introduit un nouveau système de réservation avec reconnaissance biométrique des personnes. Désormais, tout membre désireux de jouer sur un court doit procéder à la réservation de celui-ci à l’aide de son empreinte digitale. Informés par des membres du club inquiets de la situation, nous avons examiné de près ce système et avons constaté qu’il ne satisfaisait pas aux exigences de la protection des données et qu’il fallait donc le modifi er. Nous avons élaboré une recommandation et nous examinons actuellement en collaboration avec le club comment la mettre en oeuvre.

Un club de tennis était régulièrement confronté au problème de l'occupation de ses courts par des personnes qui n'étaient pas autorisées à y jouer. La structure du club ne permet pas une bonne vue d'ensemble des installations et leur accès à partir de l'extérieur est mal protégé. De plus, le club ne possède pas de réception à proprement parler, de sorte qu'il est diffi cile de contrôler qui joue sur les courts. Un système de réservation avec vérifi cation par numéros personnels d'identifi cation (NIP), introduit pour interdire l'accès aux personnes non autorisées, s'était révélé insuffi sant, car ceux-ci avaient été illégalement transmis à des non-membres. Le club a donc décidé d'introduire un système qui vérifi e le droit d'accès des joueurs à l'aide de leurs empreintes digitales. Les modèles (templates) d'empreintes digitales sont stockés de manière centralisée sur un ordinateur de sorte qu'il n'est pas nécessaire d'apporter sa carte de membre.

Informés par des membres du club, nous avons effectué un examen sur place et sommes parvenus au résultat suivant: l'utilisation de données biométriques afi n de vérifi er le droit d'accès est certes justifi ée par un intérêt privé prépondérant. Mais il s'agit d'un système de vérifi cation d'une installation sportive qui ne nécessite pas le stockage centralisé de données biométriques et qui, dès lors, est en principe disproportionné (cf. à ce propos nos considérations relatives au cas KSS). Les motifs avancés par le club en faveur de la centralisation des données (à savoir l'économie et le confort de ce système) ne suffi sent pas pour justifier un traitement disproportionné des données. Nous en avons conclu que le club de tennis devait modifi er son système de réservation.

Conformément à la recommandation que nous avons adressée au club, un certain nombre de possibilités lui sont offertes pour stocker les données de son système de vérifi cation de l'utilisation des courts tout en respectant les exigences de la protection des données. La meilleure de ces possibilités consiste à stocker les données biométriques de manière totalement décentralisée sur un support de données qui est soumis au contrôle des personnes concernées elles-mêmes (par ex. sur la carte de membre). Une autre possibilité consiste à stocker les données biométriques de manière centralisée, mais de n'utiliser que des modèles et non pas des données brutes (comme les images d'empreintes digitales ou les photographies) et de crypter ces données avant le stockage. Les données doivent en outre être stockées séparément des autres informations personnelles (par ex. leur identité). Le lien avec une personne déterminée ne doit pouvoir être établi qu'avec le consentement délibéré et explicite de celle-ci, donné à l'aide d'une carte personnelle (cf. les considérations concernant la clôture de la procédure KSS). Si l'on opte pour une solution sans carte, le stockage centralisé des données est inévitable. Mais il n'est autorisé que si aucune donnée brute n'est stockée et que si les caractéristiques biométriques utilisées ne laissent pas de traces physiques ou numériques (par ex. les veines des doigts ou le contour de la main, mais pas par ex. les empreintes digitales). Là aussi, les données doivent être stockées après avoir été cryptées et ne doivent pas avoir de lien avec d'autres données personnelles.

En outre, nous avons critiqué le fait que les mesures de sécurité des données ne sont pas du tout adaptées à la sensibilité des données biométriques. Ainsi, le serveur se trouve dans une pièce accessible de l'extérieur et protégée uniquement de manière rudimentaire contre l'effraction. De plus, la transmission des données est effectuée au moyen d'un réseau de radiocommunication (sans fi l) qui est à la disposition de tous les membres pour l'accès à Internet dans l'enceinte du club. Ce système permettrait très facilement à des personnes non autorisées d'accéder physiquement et numériquement aux données en question. Or les données biométriques doivent faire l'objet d'une protection particulière. Nous avons donc recommandé au club d'augmenter la sécurité des données en prenant les mesures techniques appropriées. Pour cette raison, les autorisations d'accès et d'entrée des collaborateurs et des membres doivent être réglementées de manière précise et restrictive.

Nous examinons actuellement avec le club quelle variante de stockage des données pourrait être mise en oeuvre et quelles sont les mesures concrètes d'ordre technique et organisationnel qui permettraient de garantir la sécurité des données.

https://www.edoeb.admin.ch/content/edoeb/fr/home/documentation/rapports-d-activites/anciens-rapports/18eme-rapport-d-activites-2010-2011/systeme-de-reconnaissance-biometrique-pour-la-reservation-despac.html