2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · •...
TRANSCRIPT
![Page 1: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/1.jpg)
Biométrie
Gwendal Le Grand
CNIL, France
2ème conférence des commissaires àla protection des données de la
francophonie17 octobre 2008, Strasbourg
Atelier - 2ème partie - Prendre en compte les dimensions techniques
![Page 2: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/2.jpg)
• Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.)
2
Introduction
![Page 3: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/3.jpg)
• Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) – Ce que je sais (un mot de passe, etc.)
3
Introduction
![Page 4: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/4.jpg)
• Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) – Ce que je sais (un mot de passe, etc.)– Ce que je suis (biométrie physique ou comportementale)
4
Introduction
![Page 5: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/5.jpg)
Introduction• Biométrie – la mesure du corps
– Vérifier l’identité à partir de caractéristiques biologiques qui sont analysées.
=> c’est une donnée à caractère personnel
• Applications – Contrôle d’accès physique / logique– Lutte contre la criminalité– Délivrance et usage de droits -> passeport, etc
5
![Page 6: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/6.jpg)
Fonctionnement • Deux phases
– Enrôlement / Reconnaissance
6
![Page 7: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/7.jpg)
Fonctionnement • Deux phases
– Enrôlement / Reconnaissance• Différences données lues / enrôlées
⇒ Erreurs possibles
7
![Page 8: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/8.jpg)
Fonctionnement • Deux phases
– Enrôlement / Reconnaissance• Différences données lues / enrôlées
=> Erreurs possibles • Deux modes de fonctionnement
– Identification ou authentification
8
![Page 9: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/9.jpg)
Classification des biométries
• Les biométries à traces : empreintes digitales et palmaires, ADN
• Les biométries sans trace : contour de la main réseau veineux
• Une catégorie intermédiaire : voix, visage et iris
![Page 10: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/10.jpg)
« Doctrine » de la CNIL : données biométriques “avec traces”
• Cas 1 : support individuel sans stockage dans le lecteur ou dans un serveur
=> Ok
Quelles sécurités ?
![Page 11: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/11.jpg)
« Doctrine » de la CNIL : données biométriques “avec traces”• Cas 2 : données biométriques dans une base centralisée
⇒OK si fort impératif de sécurité1. nombre limité de personnes 2. accès à une zone bien déterminée …3. … représentant ou contenant un
enjeu dépassant l’intérêt strict de l’organisme
Proportionnalité ? - pourquoi pas une solution avec support individuel ?
Sécurités? - dispositifs anti-fraude ? Chiffrement des gabarits stockés ? Sécurité des échanges ? Possibilité d’extraction des gabarits de la base ? Anonymisation de la base ? Interrogation en identification possible ? …
![Page 12: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/12.jpg)
Les biométries sans trace : main / réseau veineux
• Données biométriques dans une base centralisée : OK⇒Demande d’autorisation + annexes⇒S’il ne s’agit pas de salariés = consentement préalable et
existence d’un mode alternatif en parallèle
![Page 13: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/13.jpg)
Les biométries intermédiaires
![Page 14: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/14.jpg)
« Doctrine » de la CNIL : reconnaissance faciale
- Technologie qui se développe rapidement - Doctrine en cours d’élaboration
- risque de détournement de finalité- risque d’utilisation dans un autre contexte (ex: vidéosurveillance)- risque de captation à distance
![Page 15: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/15.jpg)
Conclusion • Problèmes structurels
– Enrôlement : Utilisateurs réfractaires (travailleurs manuels, personnes âgées, voix grippées, manchots, etc.)
– La biométrie est non révocable– Problématique des traces – Risques de la conservation en base centrale
• Problèmes techniques – Contraintes d’acquisition (capteurs, illumination, etc.)– Résistance à la fraude
• Faux doigts, photos, enregistrements de la voix, etc.– Quelle sécurité informatique mise en place ? – Performances / Seuil de décision :
La donnée enrôlée et la donnée lue sont toujours différentes15
![Page 16: 2ème conférence des commissaires à la protection des données … · 2016. 1. 25. · • Vérification d’identité basée sur – Ce que j’ai (une carte, une clé, etc.) –](https://reader036.vdocuments.pub/reader036/viewer/2022071114/5feae51129e35a101d2bf09e/html5/thumbnails/16.jpg)
Références
• CNIL : Communication empreintes digitales janvier 2008 -Rapports annuels de 2000 et 2001
• G29 : Avis du 11 août 2004 sur l’insertion de la biométrie dans les titres de voyage + Document de travail sur la biométrie du 1 août 2003
• Conseil de l’Europe : rapport sur la biométrie du 20 février 2004 + projet de rapport sur l’application de la convention 108 au traitement des données biométriques du 5 août 2004