SlideShare uma empresa Scribd logo

Startups : protégez vos données biométriques avec la CNIL

F
FrenchTechCentral

Quelles sont les règles applicables à l’utilisation de dispositifs biométriques ? Les expert.e.s de la CNIL proposent un webinar aux startups qui souhaitent mieux comprendre le traitement de ces données parfois sensibles. La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de caractéristiques physiques, biologiques et comportementales (empreintes digitales, iris, voix, visage ou même la démarche).  Comment procéder si vous comptez avoir recours aux mécanismes d’authentification biométriques proposés par les smartphones ?  La CNIL a clarifié les conditions dans lesquelles ces traitements de données biométriques sont soumis ou non aux obligations de protection des données. Elle rappelle que, dans tous les cas, le particulier doit garder la maîtrise de sa donnée biométrique.  Quelles sont les démarches à suivre pour les employeurs souhaitant recourir aux dispositifs biométriques pour contrôler les accès aux espaces, aux applications et aux outils de travail ?  Un règlement type « biométrie sur les lieux de travail » précise désormais les obligations des employeurs.

Governo e ONGs
1 de 31
Baixar para ler offline
1 Protégez vos données biométriques avec la @CNIL 14/06/21
Atelier CNIL - Biométrie Basile Guley – Juriste au service des questions sociales et RH Martin Bieri – Innovation & Prospective
3 - Informer & conseiller - Guides pratiques, tutoriels, vidéo - Ateliers pour les DPO - Labels, recommandation - Contrôler & sanctionner - Déclarations & autorisations - Contrôles sur place et à distance - Sanctions
Introduction au RGPD
5
6 + Les grands principes I&L demeurent Licéité, loyauté, transparence Limitation des finalités Minimisation des données Exactitude Limitation de la conservation Intégrité et confidentialité Respect des droits des personnes: • Information, • consentement • rectification, opposition • accès, suppression +
7 Et quelques nouveautés…
8 Critère de ciblage Sanctions augmentées Principe de responsabilité « accountability » Portabilité Partage des responsabilités Le Délégué à la Protection des Données (DPO)
Qu’appelle-t-on biométrie ?
10 Qu’appelle t-on biométrie ? Données biométriques : •Juridique : « données (…) résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (art. 4 RGPD) •Technique : Caractéristique biologique (anatomique ou physiologique) ou comportementale mesurable pouvant être utilisée pour la reconnaissance automatique Traitement biométrique : • Juridique : Traitement « des données biométriques aux fins d'identifier une personne physique de manière unique » (art. 9 RGPD) • Technique : Méthode de reconnaissance d’un individu basée sur des caractéristiques biométriques
11 Trois grandes catégories de procédés biométriques Physiologique Odeur, sang, salive, urine, ADN, etc. Anatomique Empreintes digitales, forme de la main, voix, traits du visage, dessin du réseau veineux de l'œil, etc. Comportemental Dynamique de la signature (vitesse de déplacement du stylo, accélérations, pression exercée, inclinaison), façon d'utiliser un clavier d'ordinateur (pression exercée, vitesse de frappe), manière de marcher (démarche), etc.
12 Attributs des données biométriques Universelles Existent chez tous les individus Mesurables/modélisables Permettent des comparaisons statistiques Uniques/discriminantes Différenciation d’un individu par rapport à un autre Permanentes Stables dans le temps Infalsifiables Enregistrables Les caractéristiques d'un individu peuvent être collectées
13 Termes Vérification (ou authentification) « Suis-je bien X ? » Techniquement, le dispositif vérifie par rapport à un code (identifiant) saisi sur un clavier, ou lu par le passage d’un badge (carte à puce, magnétique, proximité, etc.) que l’échantillon biométrique fourni correspond bien au gabarit de l’identifiant. On effectue une seule comparaison (1 vs 1) Identification : « Qui suis-je ? » A partir de l’échantillon biométrique fourni, le dispositif recherche le gabarit correspondant (ou le plus similaire) dans sa base de données On effectue autant de comparaisons qu’il y a de modèles (1 vs N) L’identification est dites en « monde fermé » si la personne possède nécessairement un modèle lui correspondant dans la base de donnée. Sinon, on parle d’identification en « monde ouvert ». Reconnaissance Terme générique qui recouvre à la fois la vérification et l’identification
Rappel : qu’est-ce qu’un gabarit ? 14 La CNIL impose que seul le gabarit et non une image de la caractéristique biométrique soit conservé Image de l’empreinte Détection des minuties = données biométriques Modélisation par algorithme
Réglages des dispositifs TFR et TFA étant liés, suivant l’application on va privilégier l’un ou l’autre 15 Système très restrictif Système très permissif
La conservation des modèles/gabarits - Les types de conservation • Type 1 : support individuel • Type 2 : base centrale chiffrée à la main de l’utilisateur • Type 3 : base centrale - Un choix en fonction du but l’ authentification/vérification ou de l’identification - Les anciens critères : sans trace/avec trace 16
17 Risques Usurpation d’identité : l’irrévocabilité de la donnée • Fiabilité vs irrévocabilité • Caractère probabiliste Données par nature pas confidentielles, au contraire d'un mot de passe. Très difficile de réserver l'usage d'une donnée biométrique à un SI donné Traçage des personnes Sécurité vs protection des données Conclusion : la biométrie en tant que facteur d’authentification doit être : ü justifiée par un contexte/besoin particulier ü encadrée par des mesures strictes pour réduire les risques
Biométrie sur le lieu de travail
RGPD et biométrie RH 1. Un patrimoine normatif important : les autorisations uniques 2. La reconnaissance de la donnée biométrique en tant que « donnée sensible » (art. 9) 3. La particularité du secteur travail : l’absence de consentement libre 19
Le règlement type 1. Un nouveau pouvoir règlementaire à disposition de la CNIL en matière de « en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ». 2. Le règlement type contrôle d’accès sur lieux de travail • Uniquement pour le contrôle d’accès • La démonstration de la nécessité de recourir à un traitement de données biométriques (justifier du type de biométrie choisie) • Stockage sous le contrôle de la personne sauf démonstration de la nécessité de recourir à un stockage en base • Mesures de sécurité et AIPD 20
Contrôle d’accès sur les lieux de loisirs
22 Biométrie sur les lieux de loisirs - Démonstration de la nécessité de recourir à la biométrie - Gabarit biométrique sous le contrôle de la personne concernée - Existence d’un consentement « libre » et donc d’une alternative
Biométrie dans les smartphones des particuliers
24 Deux types de dispositifs • Dispositifs biométriques dont le gabarit est stocké dans l’appareil, sous le seul contrôle du particulier. • Dispositifs biométriques fonctionnant depuis des serveurs distants
25 Gabarit stocké dans l’appareil • Appareils mobiles dont les dispositifs biométriques fonctionnent de manière autonome, dans un environnement totalement cloisonné au sein de l’appareil. • Dans ces cas, la CNIL considère que les traitements mis en œuvre à l’initiative et sous le seul contrôle de la personne concernée, peuvent être couverts par l’exemption domestique inscrite à l’article 2-2-c du RGPD.
26 Dispositifs biométriques fonctionnant depuis des serveurs distants • Effectuer une analyse d’impact relative à la protection des données (AIPD) ou Privacy Impact Assessment. • Cf. Risque élevé pour les droits et libertés des personnes concernées compte tenu notamment de la sensibilité des données traitées et du caractère innovant des technologies employées.
27 Exemples de dispositifs autorisés par la CNIL (pré-RGPD) • Banque Postale : traitement de reconnaissance vocale permettant de déclencher le pré-remplissage de formulaire de paiement en ligne • Natural Security Alliance : service d’authentification biométrique accessible depuis une application à télécharger sur les smartphones
La biométrie dans les environnements ouverts
Conditions de traitement 1. Conditions : - Consentement préalable des personnes - Parcours alternatifs pour assurer un consentement libre - Mécanisme d’information renforcé 2. La directive Police 3. Une prise de conscience « La propension de la technologie de reconnaissance faciale à mettre en danger les libertés civiles surpasse substantiellement ses bénéfices supposés. La technologie va exacerber les injustices raciales et menacer notre capacité à vivre libres de la surveillance permanente du gouvernement ».
Cette présentation, comme toutes les productions LINC, est mise à disposition, sous réserve des droits de propriété intellectuelle de tiers et sauf mention contraire, selon les termes de la licence Creative Commons CC-BY. Aux conditions suivantes : - Attribution : vous devez créditer la source des contenus, intégrer un lien vers la licence et préciser la date à laquelle le contenu a été récupéré. Vous devez indiquer ces informations par tous les moyens raisonnables, sans toutefois suggérer que la CNIL vous soutient ou soutient la façon dont vous avez utilisé ses contenus. - Lorsque ces contenus intègrent des éléments produits par des tiers, le contenu en question contient les mentions des droits de ces tiers (généralement en bas de page). Vous devez vous y conformer.
https://linc.cnil.fr/

Recomendados

Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Stéphanie Roger
 
Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...
EdPoliteia
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
Florence Bonnet
 
Présentation Biométrie et Marketing
Présentation Biométrie et MarketingPrésentation Biométrie et Marketing
Présentation Biométrie et Marketing
Jeremi Roch
 
Biometrie Whitepaper (fr)
Biometrie Whitepaper (fr)Biometrie Whitepaper (fr)
Biometrie Whitepaper (fr)
Paul De Bruyne
 
Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1.
Freelance
 
Problèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnéesProblèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnées
Nicolae Sfetcu
 
Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNIL
Stéphanie Roger
 

Recomendados

Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Workshop CNIL - "Privacy Impact Assessment" : comment réaliser une analyse de...
Stéphanie Roger
 
Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...Journée d'étude (02.10) - La justice et la protection des données à caractère...
Journée d'étude (02.10) - La justice et la protection des données à caractère...
EdPoliteia
 
Open Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privéeOpen Data, protection des données personnelles et de la vie privée
Open Data, protection des données personnelles et de la vie privée
Florence Bonnet
 
Présentation Biométrie et Marketing
Présentation Biométrie et MarketingPrésentation Biométrie et Marketing
Présentation Biométrie et Marketing
Jeremi Roch
 
Biometrie Whitepaper (fr)
Biometrie Whitepaper (fr)Biometrie Whitepaper (fr)
Biometrie Whitepaper (fr)
Paul De Bruyne
 
Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1. Cahier Innovation et Prospective N° 1.
Cahier Innovation et Prospective N° 1.
Freelance
 
Problèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnéesProblèmes éthiques dans l'utilisation des mégadonnées
Problèmes éthiques dans l'utilisation des mégadonnées
Nicolae Sfetcu
 
Workshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNILWorkshop - Le traitement de données biométriques par la CNIL
Workshop - Le traitement de données biométriques par la CNIL
Stéphanie Roger
 
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Lexing - Belgium
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Johan-André Jeanville
 
Colloque Big Data Martinique 2017
Colloque Big Data Martinique 2017Colloque Big Data Martinique 2017
Colloque Big Data Martinique 2017
omsrp
 
BigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesBigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données Privées
Excelerate Systems
 
Intervention CNIL : droit des internautes et obligations des e-marchands
Intervention CNIL : droit des internautes et obligations des e-marchandsIntervention CNIL : droit des internautes et obligations des e-marchands
Intervention CNIL : droit des internautes et obligations des e-marchands
Net Design
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
ASIP Santé
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Hapsis
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
FrenchTechCentral
 
noteobservations-25-10-2011de la CNIL sur le PL relative à la protection de l...
noteobservations-25-10-2011de la CNIL sur le PL relative à la protection de l...noteobservations-25-10-2011de la CNIL sur le PL relative à la protection de l...
noteobservations-25-10-2011de la CNIL sur le PL relative à la protection de l...
Ministère de l'Économie et des Finances
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnelles
breton80
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
Lexing - Belgium
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
Herve Blanc
 
Workshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 févrierWorkshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 février
Stéphanie Roger
 
PRIVACY 2.0
PRIVACY 2.0PRIVACY 2.0
PRIVACY 2.0
Prof. Jacques Folon (Ph.D)
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
BMMA - Belgian Management and Marketing Association
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
African Cyber Security Summit
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
Michael DI ROCCO
 
Workshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDWorkshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPD
FrenchTechCentral
 
RGPD / CNIL NOUVEAUX POUVOIRS
RGPD / CNIL NOUVEAUX POUVOIRSRGPD / CNIL NOUVEAUX POUVOIRS
RGPD / CNIL NOUVEAUX POUVOIRS
Antoine Gitton
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
Jedha Bootcamp
 
La Douane pour les débutants - épisode 2 : l’origine de ma marchandise
La Douane pour les débutants - épisode 2 : l’origine de ma marchandiseLa Douane pour les débutants - épisode 2 : l’origine de ma marchandise
La Douane pour les débutants - épisode 2 : l’origine de ma marchandise
FrenchTechCentral
 
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAF
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAFRecrutement & première embauche : découvrez les bons réflexes ! @URSSAF
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAF
FrenchTechCentral
 

Mais conteúdo relacionado

Semelhante a Startups : protégez vos données biométriques avec la CNIL

Colloque Big Data Martinique 2017
Colloque Big Data Martinique 2017Colloque Big Data Martinique 2017
Colloque Big Data Martinique 2017
omsrp
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnelles
breton80
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
Michael DI ROCCO
 

Semelhante a Startups : protégez vos données biométriques avec la CNIL (20)

Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance facialeEarlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
Earlegal #11 - Techno-sécurité : données biométriques et reconnaissance faciale
 
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
Conférence Laboratoire des Mondes Virtuels_Altana_La réglementation des donné...
 
Colloque Big Data Martinique 2017
Colloque Big Data Martinique 2017Colloque Big Data Martinique 2017
Colloque Big Data Martinique 2017
 
BigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données PrivéesBigDataBx #1 - BigData et Protection de Données Privées
BigDataBx #1 - BigData et Protection de Données Privées
 
Intervention CNIL : droit des internautes et obligations des e-marchands
Intervention CNIL : droit des internautes et obligations des e-marchandsIntervention CNIL : droit des internautes et obligations des e-marchands
Intervention CNIL : droit des internautes et obligations des e-marchands
 
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
HIT 2017 - ASIP Santé - Atelier N°3 Règlement européen sur la protection des ...
 
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
Support de conférence - Webinar : Comprendre les enjeux liés à la protection ...
 
Workshop CNIL
Workshop CNILWorkshop CNIL
Workshop CNIL
 
noteobservations-25-10-2011de la CNIL sur le PL relative à la protection de l...
noteobservations-25-10-2011de la CNIL sur le PL relative à la protection de l...noteobservations-25-10-2011de la CNIL sur le PL relative à la protection de l...
noteobservations-25-10-2011de la CNIL sur le PL relative à la protection de l...
 
La protection des données personnelles
La protection des données personnellesLa protection des données personnelles
La protection des données personnelles
 
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptxearlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
earlegal#9 - RGPD : Comment réaliser une analyse d impact.pptx
 
TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903TwinPeek RGPD Meetup 201903
TwinPeek RGPD Meetup 201903
 
Workshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 févrierWorkshop CNIL - RGPD & données de santé 22 février
Workshop CNIL - RGPD & données de santé 22 février
 
PRIVACY 2.0
PRIVACY 2.0PRIVACY 2.0
PRIVACY 2.0
 
Bmma privacy legal aspects
Bmma privacy legal aspectsBmma privacy legal aspects
Bmma privacy legal aspects
 
Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018Conférence Maître LAMACHI-ELKILANI ACSS 2018
Conférence Maître LAMACHI-ELKILANI ACSS 2018
 
Free Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentauxFree Sample : Le RGPD-GDPR les fondamentaux
Free Sample : Le RGPD-GDPR les fondamentaux
 
Workshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPDWorkshop CNIL données de santé et RGPD
Workshop CNIL données de santé et RGPD
 
RGPD / CNIL NOUVEAUX POUVOIRS
RGPD / CNIL NOUVEAUX POUVOIRSRGPD / CNIL NOUVEAUX POUVOIRS
RGPD / CNIL NOUVEAUX POUVOIRS
 
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
2019 : les news du RGPD - Méghane Duval, Juriste-conseil @ KaOra Partners
 

Mais de FrenchTechCentral

La Douane pour les débutants - épisode 2 : l’origine de ma marchandise
La Douane pour les débutants - épisode 2 : l’origine de ma marchandiseLa Douane pour les débutants - épisode 2 : l’origine de ma marchandise
La Douane pour les débutants - épisode 2 : l’origine de ma marchandise
FrenchTechCentral
 
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAF
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAFRecrutement & première embauche : découvrez les bons réflexes ! @URSSAF
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAF
FrenchTechCentral
 
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
FrenchTechCentral
 
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
FrenchTechCentral
 
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParisLEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
FrenchTechCentral
 
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravailLEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
FrenchTechCentral
 
Stratégie & financement : innovez avec le partenariat tech international - Bp...
Stratégie & financement : innovez avec le partenariat tech international - Bp...Stratégie & financement : innovez avec le partenariat tech international - Bp...
Stratégie & financement : innovez avec le partenariat tech international - Bp...
FrenchTechCentral
 
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence CréatisPodcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
FrenchTechCentral
 
Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21
FrenchTechCentral
 
Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21
FrenchTechCentral
 
Workshop recrutement-pole-emploi-141218
Workshop recrutement-pole-emploi-141218Workshop recrutement-pole-emploi-141218
Workshop recrutement-pole-emploi-141218
FrenchTechCentral
 

Mais de FrenchTechCentral (20)

La Douane pour les débutants - épisode 2 : l’origine de ma marchandise
La Douane pour les débutants - épisode 2 : l’origine de ma marchandiseLa Douane pour les débutants - épisode 2 : l’origine de ma marchandise
La Douane pour les débutants - épisode 2 : l’origine de ma marchandise
 
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAF
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAFRecrutement & première embauche : découvrez les bons réflexes ! @URSSAF
Recrutement & première embauche : découvrez les bons réflexes ! @URSSAF
 
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
Comment accéder aux marchés publics en tant que startup ? Zoom économie circu...
 
Ou et comment recruter un.e UX designer pour ma startup ? @GEN
Ou et comment recruter un.e UX designer pour ma startup ? @GENOu et comment recruter un.e UX designer pour ma startup ? @GEN
Ou et comment recruter un.e UX designer pour ma startup ? @GEN
 
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
La Douane pour les débutants – Épisode 1 : la nomenclature douanière de votre...
 
Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ?
Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ? Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ?
Bluetooth, Wi-Fi, NFC… Comment les bandes libres bénéficient aux startups ?
 
Financement & AAP : quelles ressources pour les startups de la French Touch ...
Financement & AAP : quelles ressources pour les startups de la French Touch ... Financement & AAP : quelles ressources pour les startups de la French Touch ...
Financement & AAP : quelles ressources pour les startups de la French Touch ...
 
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParisLEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
LEGAL DAY #3/4 - Comment aborder une levée de fonds ? @BOLD @ISAI @CCIParis
 
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravailLEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
LEGAL DAY #2/4 - Première embauche & au delà @InspectionDuTravail
 
LEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLD
LEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLDLEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLD
LEGAL DAY #1/4 - Les red flags au lancement de ma startup @INPI @BOLD
 
Stratégie & financement : innovez avec le partenariat tech international - Bp...
Stratégie & financement : innovez avec le partenariat tech international - Bp...Stratégie & financement : innovez avec le partenariat tech international - Bp...
Stratégie & financement : innovez avec le partenariat tech international - Bp...
 
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence CréatisPodcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
Podcast : panorama d'un secteur en ébullition - Radio France - Résidence Créatis
 
Financement pour startups early stage - Bpifrance - CCIParis
Financement pour startups early stage - Bpifrance - CCIParisFinancement pour startups early stage - Bpifrance - CCIParis
Financement pour startups early stage - Bpifrance - CCIParis
 
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
 
Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21
 
Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21Ftc webinar financement_20-mai-21
Ftc webinar financement_20-mai-21
 
Workshop recrutement-pole-emploi-141218
Workshop recrutement-pole-emploi-141218Workshop recrutement-pole-emploi-141218
Workshop recrutement-pole-emploi-141218
 
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
 
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
 
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
Outils & financement : le 360° du recrutement startup - Pôle Emploi - Incubat...
 

Startups : protégez vos données biométriques avec la CNIL

  • 1. 1 Protégez vos données biométriques avec la @CNIL 14/06/21
  • 2. Atelier CNIL - Biométrie Basile Guley – Juriste au service des questions sociales et RH Martin Bieri – Innovation & Prospective
  • 3. 3 - Informer & conseiller - Guides pratiques, tutoriels, vidéo - Ateliers pour les DPO - Labels, recommandation - Contrôler & sanctionner - Déclarations & autorisations - Contrôles sur place et à distance - Sanctions
  • 5. 5
  • 6. 6 + Les grands principes I&L demeurent Licéité, loyauté, transparence Limitation des finalités Minimisation des données Exactitude Limitation de la conservation Intégrité et confidentialité Respect des droits des personnes: • Information, • consentement • rectification, opposition • accès, suppression +
  • 8. 8 Critère de ciblage Sanctions augmentées Principe de responsabilité « accountability » Portabilité Partage des responsabilités Le Délégué à la Protection des Données (DPO)
  • 10. 10 Qu’appelle t-on biométrie ? Données biométriques : •Juridique : « données (…) résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques » (art. 4 RGPD) •Technique : Caractéristique biologique (anatomique ou physiologique) ou comportementale mesurable pouvant être utilisée pour la reconnaissance automatique Traitement biométrique : • Juridique : Traitement « des données biométriques aux fins d'identifier une personne physique de manière unique » (art. 9 RGPD) • Technique : Méthode de reconnaissance d’un individu basée sur des caractéristiques biométriques
  • 11. 11 Trois grandes catégories de procédés biométriques Physiologique Odeur, sang, salive, urine, ADN, etc. Anatomique Empreintes digitales, forme de la main, voix, traits du visage, dessin du réseau veineux de l'œil, etc. Comportemental Dynamique de la signature (vitesse de déplacement du stylo, accélérations, pression exercée, inclinaison), façon d'utiliser un clavier d'ordinateur (pression exercée, vitesse de frappe), manière de marcher (démarche), etc.
  • 12. 12 Attributs des données biométriques Universelles Existent chez tous les individus Mesurables/modélisables Permettent des comparaisons statistiques Uniques/discriminantes Différenciation d’un individu par rapport à un autre Permanentes Stables dans le temps Infalsifiables Enregistrables Les caractéristiques d'un individu peuvent être collectées
  • 13. 13 Termes Vérification (ou authentification) « Suis-je bien X ? » Techniquement, le dispositif vérifie par rapport à un code (identifiant) saisi sur un clavier, ou lu par le passage d’un badge (carte à puce, magnétique, proximité, etc.) que l’échantillon biométrique fourni correspond bien au gabarit de l’identifiant. On effectue une seule comparaison (1 vs 1) Identification : « Qui suis-je ? » A partir de l’échantillon biométrique fourni, le dispositif recherche le gabarit correspondant (ou le plus similaire) dans sa base de données On effectue autant de comparaisons qu’il y a de modèles (1 vs N) L’identification est dites en « monde fermé » si la personne possède nécessairement un modèle lui correspondant dans la base de donnée. Sinon, on parle d’identification en « monde ouvert ». Reconnaissance Terme générique qui recouvre à la fois la vérification et l’identification
  • 14. Rappel : qu’est-ce qu’un gabarit ? 14 La CNIL impose que seul le gabarit et non une image de la caractéristique biométrique soit conservé Image de l’empreinte Détection des minuties = données biométriques Modélisation par algorithme
  • 15. Réglages des dispositifs TFR et TFA étant liés, suivant l’application on va privilégier l’un ou l’autre 15 Système très restrictif Système très permissif
  • 16. La conservation des modèles/gabarits - Les types de conservation • Type 1 : support individuel • Type 2 : base centrale chiffrée à la main de l’utilisateur • Type 3 : base centrale - Un choix en fonction du but l’ authentification/vérification ou de l’identification - Les anciens critères : sans trace/avec trace 16
  • 17. 17 Risques Usurpation d’identité : l’irrévocabilité de la donnée • Fiabilité vs irrévocabilité • Caractère probabiliste Données par nature pas confidentielles, au contraire d'un mot de passe. Très difficile de réserver l'usage d'une donnée biométrique à un SI donné Traçage des personnes Sécurité vs protection des données Conclusion : la biométrie en tant que facteur d’authentification doit être : ü justifiée par un contexte/besoin particulier ü encadrée par des mesures strictes pour réduire les risques
  • 19. RGPD et biométrie RH 1. Un patrimoine normatif important : les autorisations uniques 2. La reconnaissance de la donnée biométrique en tant que « donnée sensible » (art. 9) 3. La particularité du secteur travail : l’absence de consentement libre 19
  • 20. Le règlement type 1. Un nouveau pouvoir règlementaire à disposition de la CNIL en matière de « en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ». 2. Le règlement type contrôle d’accès sur lieux de travail • Uniquement pour le contrôle d’accès • La démonstration de la nécessité de recourir à un traitement de données biométriques (justifier du type de biométrie choisie) • Stockage sous le contrôle de la personne sauf démonstration de la nécessité de recourir à un stockage en base • Mesures de sécurité et AIPD 20
  • 21. Contrôle d’accès sur les lieux de loisirs
  • 22. 22 Biométrie sur les lieux de loisirs - Démonstration de la nécessité de recourir à la biométrie - Gabarit biométrique sous le contrôle de la personne concernée - Existence d’un consentement « libre » et donc d’une alternative
  • 24. 24 Deux types de dispositifs • Dispositifs biométriques dont le gabarit est stocké dans l’appareil, sous le seul contrôle du particulier. • Dispositifs biométriques fonctionnant depuis des serveurs distants
  • 25. 25 Gabarit stocké dans l’appareil • Appareils mobiles dont les dispositifs biométriques fonctionnent de manière autonome, dans un environnement totalement cloisonné au sein de l’appareil. • Dans ces cas, la CNIL considère que les traitements mis en œuvre à l’initiative et sous le seul contrôle de la personne concernée, peuvent être couverts par l’exemption domestique inscrite à l’article 2-2-c du RGPD.
  • 26. 26 Dispositifs biométriques fonctionnant depuis des serveurs distants • Effectuer une analyse d’impact relative à la protection des données (AIPD) ou Privacy Impact Assessment. • Cf. Risque élevé pour les droits et libertés des personnes concernées compte tenu notamment de la sensibilité des données traitées et du caractère innovant des technologies employées.
  • 27. 27 Exemples de dispositifs autorisés par la CNIL (pré-RGPD) • Banque Postale : traitement de reconnaissance vocale permettant de déclencher le pré-remplissage de formulaire de paiement en ligne • Natural Security Alliance : service d’authentification biométrique accessible depuis une application à télécharger sur les smartphones
  • 28. La biométrie dans les environnements ouverts
  • 29. Conditions de traitement 1. Conditions : - Consentement préalable des personnes - Parcours alternatifs pour assurer un consentement libre - Mécanisme d’information renforcé 2. La directive Police 3. Une prise de conscience « La propension de la technologie de reconnaissance faciale à mettre en danger les libertés civiles surpasse substantiellement ses bénéfices supposés. La technologie va exacerber les injustices raciales et menacer notre capacité à vivre libres de la surveillance permanente du gouvernement ».
  • 30. Cette présentation, comme toutes les productions LINC, est mise à disposition, sous réserve des droits de propriété intellectuelle de tiers et sauf mention contraire, selon les termes de la licence Creative Commons CC-BY. Aux conditions suivantes : - Attribution : vous devez créditer la source des contenus, intégrer un lien vers la licence et préciser la date à laquelle le contenu a été récupéré. Vous devez indiquer ces informations par tous les moyens raisonnables, sans toutefois suggérer que la CNIL vous soutient ou soutient la façon dont vous avez utilisé ses contenus. - Lorsque ces contenus intègrent des éléments produits par des tiers, le contenu en question contient les mentions des droits de ces tiers (généralement en bas de page). Vous devez vous y conformer.