2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · •...
Transcript of 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · •...
Biométrie
Gwendal Le Grand
CNIL, France
2ème conférence des commissaires àla protection des données de la
francophonie17 octobre 2008, Strasbourg
Atelier - 2ème partie - Prendre en compte les dimensions techniques
• Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.)
2
Introduction
• Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) – Ce que je sais (un mot de passe, etc.)
3
Introduction
• Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) – Ce que je sais (un mot de passe, etc.)– Ce que je suis (biométrie physique ou comportementale)
4
Introduction
Introduction• Biométrie – la mesure du corps
– Vérifier l’identité à partir de caractéristiques biologiques qui sont analysées.
=> c’est une donnée à caractère personnel
• Applications – Contrôle d’accès physique / logique– Lutte contre la criminalité– Délivrance et usage de droits -> passeport, etc
5
Fonctionnement • Deux phases
– Enrôlement / Reconnaissance
6
Fonctionnement • Deux phases
– Enrôlement / Reconnaissance• Différences données lues / enrôlées
⇒ Erreurs possibles
7
Fonctionnement • Deux phases
– Enrôlement / Reconnaissance• Différences données lues / enrôlées
=> Erreurs possibles • Deux modes de fonctionnement
– Identification ou authentification
8
Classification des biométries
• Les biométries à traces : empreintes digitales et palmaires, ADN
• Les biométries sans trace : contour de la main réseau veineux
• Une catégorie intermédiaire : voix, visage et iris
« Doctrine » de la CNIL : données biométriques “avec traces”
• Cas 1 : support individuel sans stockage dans le lecteur ou dans un serveur
=> Ok
Quelles sécurités ?
« Doctrine » de la CNIL : données biométriques “avec traces”• Cas 2 : données biométriques dans une base centralisée
⇒OK si fort impératif de sécurité1. nombre limité de personnes 2. accès à une zone bien déterminée …3. … représentant ou contenant un
enjeu dépassant l’intérêt strict de l’organisme
Proportionnalité ? - pourquoi pas une solution avec support individuel ?
Sécurités? - dispositifs anti-fraude ? Chiffrement des gabarits stockés ? Sécurité des échanges ? Possibilité d’extraction des gabarits de la base ? Anonymisation de la base ? Interrogation en identification possible ? …
Les biométries sans trace : main / réseau veineux
• Données biométriques dans une base centralisée : OK⇒Demande d’autorisation + annexes⇒S’il ne s’agit pas de salariés = consentement préalable et
existence d’un mode alternatif en parallèle
Les biométries intermédiaires
« Doctrine » de la CNIL : reconnaissance faciale
- Technologie qui se développe rapidement - Doctrine en cours d’élaboration
- risque de détournement de finalité- risque d’utilisation dans un autre contexte (ex: vidéosurveillance)- risque de captation à distance
Conclusion • Problèmes structurels
– Enrôlement : Utilisateurs réfractaires (travailleurs manuels, personnes âgées, voix grippées, manchots, etc.)
– La biométrie est non révocable– Problématique des traces – Risques de la conservation en base centrale
• Problèmes techniques – Contraintes d’acquisition (capteurs, illumination, etc.)– Résistance à la fraude
• Faux doigts, photos, enregistrements de la voix, etc.– Quelle sécurité informatique mise en place ? – Performances / Seuil de décision :
La donnée enrôlée et la donnée lue sont toujours différentes15
Références
• CNIL : Communication empreintes digitales janvier 2008 -Rapports annuels de 2000 et 2001
• G29 : Avis du 11 août 2004 sur l’insertion de la biométrie dans les titres de voyage + Document de travail sur la biométrie du 1 août 2003
• Conseil de l’Europe : rapport sur la biométrie du 20 février 2004 + projet de rapport sur l’application de la convention 108 au traitement des données biométriques du 5 août 2004