La biométrie est un sujet de plus en plus présent dans le monde de la gestion des temps et de manière plus générale dans celui de l'identification de personnes.
Ces technologies présentent l'avantage de s'affranchir de moyens d'identification (badges, codes d'accès etc..) qui peuvent être échangés, oubliés ou perdus.
L'emploi de systèmes de pointages biométriques est cependant sujet à un certain nombre de contraintes techniques et règlementaires qu'il convient de considérer avant l'installation d'une pointeuse biométrique.
1 - Qu'est ce que la biométrie?
Le dictionnaire Larousse indique la définition suivante pour le terme 'biométrie':
Étude statistique des dimensions et de la croissance des êtres vivants.
Dans le cadre d'une pointeuse biométrique, il s'agit d'identifier une personne non pas par un moyen intermédiaire comme par exemple la détention d'un badge ou la connaissance d'un code d'accès, mais directement par la mesure d'une ou de plusieurs caractéristiques biologiques de son corps. Ces caractéristiques doivent donc être différentes d'un individu à l'autre et mesurables de manière sûre et reproductible. La mesure biométrique la plus répandue est l'identification d'un individu par une pointeuse biométrique à empreinte digitale. Il existe cependant d'autres types d'identification biométrique comme par exemple le contour de la main, l'identification des contours du visage ou encore l'analyse de l'iris de l’œil (technologie de pointe actuellement non employée dans le cadre de pointeuses badgeuses).
2- Les pointeuses biométriques.
Il existe plusieurs types de pointeuses biométriques. Chaque type diffère selon la technologie d'identification utilisée. Le type d'appareil le plus communément répandu est la pointeuse à empreinte digitale. Avant l'utilisation de l'appareil, les empreintes digitales des salarié(s) sont enregistrées dans la pointeuse. Ainsi, lorsqu'une personne souhaite pointer, elle présente son doigt sur le lecteur d'empreinte et la badgeuse biométrique comparera l'empreinte scannée avec celle enregistrée dans sa base de données. S'il y a concordance, le pointage sera enregistré.
La pointeuse biométrique à détection du contour de la main était une technologie plus répandue avant 2012. En effet, avant 2012, l'utilisation d'une badgeuse horaire à reconnaissance du contour de la main bénéficiait d'une règlementation simplifiée auprès de la CNIL. Une probable raison pour ces procédures simplifiées est le simple fait que le contour de la main n'est pas une caractéristique biométrique simple à usurper. En effet, les empreintes digitales que nous laissons sur les centaines voire les milliers de surfaces que nous touchons tous les jours sont, de part ce caractère, facile à trouver et à copier par une personne aux intentions criminelles. Le contour de la main n'étant pas une caractéristique biométrique que nous déposons sur des objets, elle est un peu moins sujette à la fraude. Depuis un décret de 2012, les pointeuses biométriques à détection du contour de la main ne bénéficient cependant plus de ce traitement de faveur.
Les pointeuses biométriques à reconnaissance faciale forment le troisième type d'appareils biométriques. Ici, il s'agit de prendre une photo biométrique de la personne se présentant devant la badgeuse. La photo sera comparée à une photo standard stockée dans l'appareil. La pointeuse comparera alors des singularités biométriques et pourra identifier la personne 'pointant'.
Certains guides pratiques passant en revu les différentes technologies de pointeuses et de logiciels de gestion des temps permettent de s'informer plus en détails sur toutes les possibilités techniques.
3- Les risques en termes de protection des données personnelles?
Comme évoqué précédemment, l'identification biométrique d'un individu peut présenter un certain nombre d'avantages. En termes de protection des données personnelles, il s'agit cependant d'un sujet plus sensible que ne le sont les moyens d'identification classiques tels que les badges ou encore les codes d'accès.
Exemple de perte ou de vol:
Imaginons qu'une entreprise ait mis en place un outil d'identification classique (comme par exemple une pointeuse classique utilisant des badges). Un individu criminel, pourrait dérober un ou plusieurs badges afin d'usurper l'identité d'autres personnes. Le cas échéant, ces badges donnent accès à des locaux, permettent de pointer sur une badgeuse etc... Afin de rétablir la situation, il suffit de distribuer de nouveaux badges aux personnes concernées et de 'désactiver' les badges dérobées. La personne malveillante ne pourra ainsi plus utiliser les badges dérobés et les accès des personnes légitimes seront de nouveau assurés. Fin de l'histoire.
Si les systèmes d'identification (comme la pointeuse) étaient de nature biométrique, il est tout a fait possible de collecter les informations biométriques d'un individu. Ceci pourrait être réalisé via une dépose d'empreinte digitale sur une surface plane ou encore par le piratage d'un système informatique. La gravité de cette situation est à présent d'une toute autre envergure. En effet, ces données biométriques étant directement associées à un individu en tant que tel, il n'est aucunement possible 'de remplacer' ces dernières comme on pourrait le faire avec un simple badge. Aux dernières nouvelles, votre visage, vos doigts, vos mains et vos veines ne sont pas remplaçables lors de la prochaine révision... Ainsi, non seulement l'individu lésé se verra son identité potentiellement usurpée pour le reste de sa vie, mais en plus il n'aura plus aucun accès biométrique possible. Ceci peut à première vu n'être qu'un incident mineur s'il ne s'agit 'que' de la pointeuse. Mais qu'en est-il de nos passeports européens désormais biométriques et contenant nos empreintes digitales? Le piratage d'empreintes digitales sur une simple pointeuse en entreprise, ouvre-t-il la voie à une fraude biométrique d'une toute autre envergure?
Sensible à ces questions, la CNIL (Commission Nationale de l'Informatique et des Libertés) s'est penchée sur le problème il y a maintenant plusieurs années.
4- La règlementation des pointeuses biométriques en France
Pour la France, l'utilisation de badgeuses biométriques est depuis 2012 très claire. Elle est tout simplement interdite.
En raison des risques évoqués ci-dessus et d'un risque pour le climat social, la CNIL a déclaré en 2012 que:
'Un consensus s’est clairement exprimé considérant l’utilisation de la biométrie aux fins de contrôle des horaires comme un moyen disproportionné d’atteindre cette finalité. La raison principale avancée est le risque accru de détérioration du climat social, allant à l’encontre de la relation de confiance employeur-salarié. Les organisations auditionnées ont souligné que, lorsque le contrôle des horaires par pointeuse est nécessaire, les outils de gestion des horaires sans biométrie (exemple : pointeuse à badge) apparaissent comme suffisants.'
Cette délibération vient appuyer la loi n°78-17 du 6 Janvier 1978 relative à l'informatique aux fichiers et aux libertés.
En plus des aspects purement biométriques, il convient de s'informer sur les règlementations générales autour de l'installation et de l'utilisation d'une pointeuse.
Ce qu'il faut retenir
La pointeuse biométrique apparaît comme une solution technique pratique et fiable (plus besoin de gérer des badges et les risques de fraude sont réduits). Les différentes technologies biométriques (empreinte digitale, reconnaissance faciale etc...) permettent un large spectre d'application.
Les risques liés à l'utilisation d'une pointeuse biométrique ne sont cependant pas négligeables et sont à considérer avant l'installation de tout appareil.
Finalement, la règlementation française interdit l'emploi d'une pointeuse biométrique, que celle-ci soit à empreinte digitale ou utilisant un autre moyen d'authentification biométrique.
Comments