Depuis plusieurs années, un engouement s’affirme pour la biométrie tant son utilisation revêt de multiples aspects. Devenue un outil important dans la lutte contre la criminalité, de plus en plus d’entreprises font appel à ses procédés. De même, la crise de la Covid-19 a démontré la nécessité de protéger les locaux contre toute intrusion. Ainsi la biométrie est-elle une réponse aux enjeux de sécurité sanitaire.
La biométrie : un outil d’authentification et d’identification
La CNIL définit la biométrie comme « l’ensemble des techniques informatiques permettant de reconnaître automatiquement un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales ». Les données biométriques sont personnelles et ont la particularité d’être uniques et permanentes. La biométrie permet d’identifier et d’authentifier les personnes. Grâce aux données récoltées, l’entreprise peut ainsi déterminer l’identité d’une personne.
Les caractéristiques principalement utilisées peuvent être morphologiques (empreintes digitales, forme du visage, empreintes digitales) ou comportementales. Les employeurs sont libres de choisir les caractéristiques biométriques qu’ils collecteront, mais ils ont en revanche l’interdiction d’authentifier les salariés sur des caractéristiques biologiques (salive, sang …).
Depuis quelques années, on assiste à une forme de « démocratisation de la biométrie ». Un nombre grandissant d’entreprises décident de recourir aux applications de cette technologie. Selon le rapport 2018 de Spiceworks, 62% des entreprises déclarent utiliser des technologies d’authentification biométrique et 24% prévoient de les utiliser dans les deux ans à venir. On observe que les méthodes principalement utilisées étaient les empreintes digitales (57%) et la reconnaissance faciale (14%). Venaient ensuite la reconnaissance de la géométrie de la main (5%), la technologie de balayage de l’iris (3%) ainsi que la reconnaissance vocale et des veines de la paume (2%).
Une réglementation stricte de la biométrie par la CNIL et le RGPD
Depuis l’application du Règlement général de protection des données (RGPD), un renforcement du régime juridique des données biométriques est apparu. L’installation d’un système biométrique est désormais soumise à des règles drastiques. La réglementation s’est encore renforcée le 28 mars 2019 avec le règlement publié par la CNIL dans lequel sont précisées les obligations soumises aux organismes souhaitant se doter d’un dispositif biométrique à des fins de contrôle d’accès. Il n’a pas vocation à se substituer aux obligations générales du RGPD et de la loi « Informatique et Libertés » mais à les compléter et à les préciser.
L’utilisation de procédés biométriques ne dépend pas uniquement de la simple volonté des entreprises puisque la CNIL limite leur installation. Avant la mise en place, les organismes, publics ou privés, doivent au préalable, soit obtenir son autorisation soit fournir une déclaration de conformité, dans des situations spécifiquement prévues par la CNIL. Les entreprises devront justifier leur choix en démontrant la finalité du dispositif mis en place. Il ne pourra s’agir uniquement que de contrôler l’accès à des locaux, aux ordinateurs ou aux applications informatiques. Elles devront également expliquer les raisons pour lesquelles elles ont préféré avoir recours aux données biométriques plutôt qu'à d'autres dispositifs d’identification (badges, mot de passe, …). Une analyse d’impact relative à la protection des données devra aussi être fournie afin d’identifier les risques pour les droits et libertés des salariés notamment en matière d’atteinte à la vie privée. De plus, la CNIL précise que les salariés devront être informés par écrit de la mise en place d’un système biométrique avant le recueil des données. L’entreprise doit certes les informer, mais elle n’a pas l’obligation d’obtenir leur consentement puisque le traitement des données biométriques peut être justifié par l’intérêt légitime de l’employeur. Cependant, les salariés ont le droit de s’y opposer selon l’article 21 du RGPD.
Les données biométriques sont des données « sensibles » selon le RGPD, elles doivent donc être protégées. Les risques de piratage, de vol ou d’usurpation auraient de graves conséquences. C’est pourquoi les entreprises doivent garantir un niveau de protection élevé en limitant par exemple l’usage de ces données ou en mettant à jour régulièrement les appareils électroniques. Ces données doivent être enregistrées dans des fichiers sécurisés et permettre une identification rapide. La CNIL limite le nombre de personnes ayant accès à ces données. En effet, « seules peuvent avoir accès aux données biométriques les personnes qui sont limitativement habilitées en raison de leurs fonctions à gérer l'enrôlement de la personne concernée, à supprimer les gabarits ou à assurer la maintenance du dispositif ». Cependant, aucun système n’est infaillible et le risque est présent. Il est donc conseillé aux entreprises de coupler les données biométriques avec un mot de passe ou une solution d’authentification bifactorielle ou multifactorielle pour plus de sécurité.
Les avantages et inconvénients de la biométrie
La biométrie est un outil pouvant pallier aux problèmes causés par les systèmes d’authentification habituels. Aujourd’hui, les mots de passe, badges, codes PINS, les cartes à puce… ne sont plus complètement infaillibles contre les attaques cyber. Ce sont des formes d’authentification trop utilisées et qui sont surtout limitées et vulnérables. Grâce aux caractéristiques biométriques, l’authentification semble plus sûre et fiable. Surtout, l’entreprise est moins confrontée aux risques de soustraction, d’oubli ou de duplication.
Malgré les avantages de la biométrie, les entreprises se montrent tout de même réticentes à son utilisation. Cela s’explique d’abord par son coût puisque s’agissant par exemple d’un système de lecture des empreintes digitales, l’entreprise doit s’équiper d’un terminal supplémentaire. De même, on observe une certaine suspicion à l’égard de la biométrie. Le Gixel (Groupement des industries de l’interconnexion des composants et des sous-ensembles électroniques) a notamment écrit dans son Livre Bleu à l’intention du gouvernement que « la sécurité est très souvent vécue dans nos sociétés démocratiques comme une atteinte aux libertés individuelles. Il faut donc faire accepter par la population les technologies utilisées et parmi celles-ci la biométrie, la vidéosurveillance et les contrôles ». En effet, beaucoup n’ont pas confiance en ce moyen d’authentification qu’ils considèrent comme peu fiable (faux négatifs, échec d’authentification, problèmes techniques…) et peu transparent sur les risques de sécurité de la part des fournisseurs. Le type de données récoltées est également un frein puisque le partage de données biométriques est un risque pour la confidentialité et la fuite de ces données serait fortement compromettante.
Face aux failles de sécurité et au scepticisme de certains, la biométrie ne peut aujourd’hui être le seul procédé d’authentification au sein de l’entreprise. Elle doit ainsi être complétée par d’autres moyens d’authentification multifactoriels.
Vers un développement de la biométrie comportementale ?
L’utilisation des données morphologiques et des autres moyens d’identification permet de garantir une meilleure protection de l’entreprise, mais aujourd’hui la biométrie comportementale pourrait être un moyen d’authentification beaucoup plus intéressant. Depuis plusieurs années, les entreprises se sont contentées d’une biométrie traditionnelle qui englobe trois méthodes, à savoir : la biométrie pour authentifier la nature d’une personne, le mot de passe pour définir ce qu’elle sait et enfin les informations d’identification délivrées par une clé de sécurité USB, pour définir ce qui est en possession de l’utilisateur. Cette biométrie a démontré ses faiblesses en raison des failles de sécurité que présentent notamment les empreintes digitales et la reconnaissance faciale. Les attaques sont aussi de plus en plus sophistiquées et les compromissions de compte sont courantes. Les entreprises peuvent combler ces défaillances grâce à une authentification en continu qui offre, selon Florent Embarek, Directeur Commercial Europe de BlackBerry, « les avantages d’une authentification multifactorielle combinée à des analyses comportementales et contextuelles passives qui n’ont pas d’impact négatif sur l’expérience utilisateur ou les flux de travail ».
La biométrie comportementale permet d’identifier une personne par son comportement et de garantir son identité pendant toute la durée de la session contrairement aux méthodes de la biométrie traditionnelle dont l’authentification se fait seulement en début de session. Les entreprises peuvent ainsi valider l’identité d’une personne de façon continue en ayant recours à une grande variété de données (mouvements de la souris, manière de taper, applications utilisées…). Cette biométrie permettrait de s’affranchir de la biométrie psychologique, car la collecte des données se ferait sans l’intervention des utilisateurs.
Ce facteur d’authentification est source de nouveaux enjeux et tend à se développer puisque le marché mondial de la biométrie comportementale devrait afficher une croissance robuste dans les années à venir.
Tifaine Mariotte pour le Club Sûreté de l’AEGE
Pour aller plus loin :