Les sénateurs ont adopté hier en fin d’après-midi une proposition de loi dont l'objectif est de restreindre l’utilisation des dispositifs biométriques en France (lecteurs d'empreintes digitales, système de reconnaissance faciale,...). Le texte, soutenu par l’ensemble des groupes politiques ainsi que par le gouvernement, a néanmoins été remanié par rapport à sa version initiale, afin d’affirmer de manière plus précise quels seront les cas dans lesquels de tels systèmes pourront être autorisés par la CNIL. Explications.  

Le Sénat examinait hier en première lecture une proposition de loi socialiste « visant à limiter l'usage des techniques biométriques ». Les auteurs du texte réclament une « clarification législative » quant aux autorisations données aux entreprises ou aux organismes qui souhaitent exploiter des dispositifs tels que des lecteurs d’empreintes digitales, des systèmes de reconnaissance faciale ou de frappe au clavier, etc. « La question qui nous est posée est en effet de savoir si nous sommes prêts à consentir à une banalisation de l'usage de données tirées du corps humain ou si nous voulons que cet usage soit limité à des situations exceptionnelles » affirmaient ainsi les parlementaires dans leur exposé des motifs.

Alors qu’aujourd’hui, la mise en place d’un dispositif utilisant des données biométriques est soumise à l’obtention d’une autorisation de la CNIL, selon des formalités variables en fonction des données exploitées (empreintes digitales, contour de la main, iris,...) et de la finalité du traitement (contrôle d’accès à certaines salles, etc.), les sénateurs PS réclamaient que le feu vert de la gardienne des données personnelles ne puisse être donné que dans les cas de « stricte nécessité de sécurité ».

Un texte remanié et voté avec le soutien de tous les groupes politiques

Jugée trop floue, cette notion a cependant été précisée lors du passage du texte en Commission des lois, puis partiellement réécrite hier suite au dépôt d’un amendement du gouvernement.

Désormais, la proposition de loi prévoit que ne peuvent être autorisés par la CNIL que les traitements de données biométriques « dont la finalité est la protection de l’intégrité physique des personnes, la protection des biens ou la protection d’informations dont la divulgation, le détournement ou la destruction porterait un préjudice grave et irréversible et qui répondent à une nécessité excédant l'intérêt propre aux besoins de l'organisme les mettant en œuvre » (ouf !).

Autrement dit, plusieurs conditions sont posées par le législateur. Un, seuls trois cas de figure justifie la mise en place d'un dispositif biométrique : la protection de l’intégrité physique des personnes, la protection des biens ou celle d’informations sensibles. Deux, il faut que le système réponde « à une nécessité excédant l'intérêt propre aux besoins de l'organisme » exploitant les données biométriques. Cette notion a en fait été posée par la CNIL depuis plusieurs années déjà, et sert notamment à autoriser les paiements authentifiés grâce à la biométrie - dans la mesure où les consommateurs ont eux aussi intérêt à profiter de ce type de dispositif, et non pas seulement les banques ou les commerçants.

Axelle Lemaire propose l'installation d'un groupe de travail parlementaire

« Le gouvernement, saluant le travail des parlementaires, souhaite fixer des principes clairs pour guider le travail des autorités indépendantes sans pour autant freiner l'innovation biométrique » a déclaré Axelle Lemaire lors des débats, apportant ainsi le soutien de l’exécutif à ce texte (voir le compte-rendu). La Secrétaire d’État au Numérique a néanmoins proposé l’instauration d’un groupe de travail parlementaire visant à « affiner la rédaction de la proposition de loi » d’ici à son examen prochain devant l'Assemblée nationale. Le règlement européen sur les données personnelles actuellement en discussion à Bruxelles est en effet de nature à s’appliquer aux traitements de données biométriques en France. Axelle Lemaire a également regretté qu’il n’y ait pas eu d’étude d’impact sur cette proposition de loi.  

Dans tous les cas, les sénateurs ont introduit des mesures transitoires afin que les entreprises ou organismes actuellement autorisés à exploiter des dispositifs biométriques aient un délai de trois ans pour se conformer à la nouvelle loi. Mais le texte doit encore effectuer un gros bout de chemin parlementaire avant d’être définitivement adopté, puisqu’il devra faire l’objet de deux lectures devant chaque assemblée.