Біометричні дані смартфона; режим d; автентифікація

CNIL визначив біометрію як "усі процеси, спрямовані на ідентифікацію особи за допомогою вимірювання однієї або кількох її фізичних, фізіологічних або поведінкових характеристик". Ці біометричні дані охоплюють, наприклад, відбитки пальців, райдужну оболонку ока, контур кисті, венозну сітку пальців, ДНК, голос, форму обличчя або елементи поведінки, такі як підпис або процес.

дані

Ці дані, що виробляються організмом людей, є предметом дедалі частішого використання у багатьох пристроях, наприклад, для контролю доступу до робочого місця. Однак ці дані також обробляються на пристроях, які суттєвіше позначають повсякденне життя людей. Насправді все більше смартфонів інтегрують пристрої для розпізнавання відбитків пальців або навіть розпізнавання контурів обличчя завдяки фронтальній камері.

Ці біометричні пристрої у смартфонах можуть використовуватися для автентифікації користувача з метою розблокування смартфона, але вони також можуть використовуватися для певних додатків або онлайн-служб для автентифікації користувача перед транзакцією.

Однак, хоча ці пристрої можуть здаватися дуже привабливими, вони можуть створювати ризик для захисту даних користувачів. Це те, що виправдовує те, що вони були предметом кваліфікованого затримання з боку CNIL, який застосовується до них, здавалося б, складного режиму. Дійсно, цей режим міг змінюватися з плином часу, а разом із ним і критерії відмінності, прив'язані до біометричних систем. Отже, мова буде йти про те, щоб визначити, який із цих критеріїв в даний час зберігається CNIL, перш ніж пояснити правовий режим, що застосовується до різних біометричних приладів.

1. Відмінні критерії, що застосовуються до різних біометричних приладів

CNIL відмовився від розмежування між біометрією трасування та мікроелементів, щоб зберегти лише різницю між індивідуальним зберіганням та зберіганням на віддаленому сервері. Це випливає з єдиних дозволів на біометричні пристрої для контролю доступу до робочих місць, AU-52 з контролем людини за його шаблоном та AU-53 із збереженням біометричних шаблонів в основі. Розмежування, яке тоді зробив CNIL, стосується лише методів зберігання. Він скасовує попередні єдині дозволи, які розрізняли біометричні дані слідів (AU-008 та AU-027 щодо контролю доступу за відбитками пальців на робочому місці та на професійних ноутбуках) та без слідів (AU-007 щодо контролю контуру руки в робоче місце, AU-019 з контролю венозної мережі кисті на робочому місці). Дійсно, завдяки еволюції технологій, всі біометричні дані можуть давати сліди, тому ця відмінність вже не здавалася доречною.

2. Методи зберігання, що визначають правовий режим, що застосовується до біометричних пристроїв у смартфонах

Отже, CNIL базується виключно на методах зберігання та можливості для зацікавленої особи зберегти контроль над своїм біометричним шаблоном з метою встановлення правового режиму для різних біометричних пристроїв. Що стосується смартфонів, то він нагадує, що біометричний шаблон можна зберігати в пристрої, в повністю компартменталізованому середовищі, і залишатись у виключному контролі відповідної особи. Але його також можна зберігати на віддаленому сервері, взаємодіючи з пристроєм біометричної автентифікації. У цьому другому випадку зацікавлена ​​особа не має контролю над своїм біометричним шаблоном.

Залежно від типу пристрою, встановленого в смартфоні, можуть застосовуватися два типи правового режиму.

По-друге, коли біометричний пристрій смартфона взаємодіє з віддаленими серверами, на яких зберігається біометричний шаблон, для налаштування цього типу пристрою необхідний дозвіл CNIL. Цей тип біометричного пристрою не підпадає під виняток, оскільки контроль за біометричним шаблоном покладено на третю сторону. Оскільки ризики для суб’єкта даних вищі, необхідний дозвіл CNIL, що дозволяє йому гарантувати, що контролер даних вживає відповідних технічних заходів для захисту конфіденційності біометричних шаблонів.

Однак слід зазначити, що ці біометричні пристрої у смартфонах, незалежно від того, скористались вони національним звільненням чи дозволено CNIL, представляють значні ризики для конфіденційності зацікавлених осіб. Дійсно, незалежно від того, зберігаються вони на смартфоні або на віддаленому сервері, біометричні дані не захищені від злому. Однак, на відміну від коду доступу, який можна змінити після розголошення, біометричні дані є незмінними, вони специфічні для людини і не можуть бути змінені. Таким чином, суб'єкт даних може зазнати безповоротної шкоди з точки зору захисту своєї приватності, наприклад, викрадення особистих даних, а також через те, що біометричні дані можуть використовуватися для автентифікації певних транзакцій в Інтернет-додатках чи послугах. Більше того, на додаток до цих міркувань, розкриття біометричних даних, що містяться в смартфоні, може призвести до того, що суб'єкт даних втратить контроль над своєю особистістю. Тоді її можна було ідентифікувати без її відома, виключно на основі її фізичних особливостей.

Джерела

ДЕБЕТ Енн, “Нова еволюція доктрини CNIL про біометрію”, Comm. ком. електр. n ° 1, січень 2017 р., коментар 7.

DUCLERCQ Жан-Батіст, “iPhone 5S та основні свободи”, Revue Général du droit, n ° 2, вересень 2013 р. ).

MEURIS-GUERRERO Флоренція, “Коли дані, що виробляються людським тілом, стають паролями”, Comm. ком. електр. n ° 11, листопад 2016 р., оповіщення 68.

OCHOA Ніколас, "Закон про особисті дані, спеціальна адміністративна поліція", Дройт,
Університет Париж 1 Пантеон-Сорбонна, 2014, с. 481-484.

Комунікація CNIL щодо впровадження пристроїв розпізнавання відбитків пальців із збереженням у базі даних (доступно за посиланням: https://www.cnil.fr/sites/default/files/typo/document/Communication-biometrie.pdf; доступ 2 квітня), 2017).

Обговорення n ° 2016-186 від 30 червня 2016 року щодо єдиного дозволу на впровадження пристроїв, метою яких є контроль доступу шляхом біометричної автентифікації до приміщень, пристроїв та комп’ютерних програм на робочому місці та гарантування контролю з боку зацікавленої особи над їх біометричним шаблоном (AU-052).

Обговорення n ° 2016-187 від 30 червня 2016 року щодо єдиного дозволу на впровадження пристроїв, метою яких є контроль доступу шляхом біометричної автентифікації до приміщень, пристроїв та комп’ютерних програм на робочому місці, на основі збереження шаблонів в базі контролер (AU-053).

Закон № 78-17 від 6 січня 1978 року про обробку даних, файли та свободи, стаття 2.

Регламент (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних, стаття 9.

ЄСПЛ, 4 грудня 2008 р., Справа С. та Марпера проти Великобританії.