Le choix d’un système biométrique ne doit pas être pris à la légère. Le futur utilisateur doit bien analyser ses besoins et préparer le déploiement du dispositif pour éviter d’éventuels déboires.
Reconnaissance de l’iris ou du visage, lecteur d’empreinte digitale ou du réseau veineux, quels systèmes choisir ? Complexe, l’adoption d’un dispositif biométrique doit tenir compte de plusieurs critères et nécessite bien sûr de mener une étude préalable. Cette étape est d’autant plus incontournable que si le dispositif est disproportionné par rapport à la finalité du projet, la Cnil peut être amenée à en interdire le déploiement. Un grossiste en vêtements militaires en a fait les frais en mai dernier pour avoir mis un lecteur d’empreintes digitales avec une base de données centralisée.
Températures extrêmes
Une fois les objectifs du projet établis, il reste à étudier l’environnement de travail dans lequel sera installé le dispositif. Dans un atelier ou dans une ambiance poussiéreuse, mieux vaut préférer un lecteur de reconnaissance veineuse plutôt qu’une lecteur d’empreinte digitale qui aura du mal à lire des doigts sales ou poussiéreux.
Si le produit doit être mis à l’extérieur du bâtiment, il faut s’assurer qu’il supportera les températures extrêmes (certains lecteurs d’empreintes digitales fonctionnent dans des plages de température allant de – 30 °C à + 70 °C), ou qu’il ne sera pas perturbé par une trop grande luminosité. Dans ce cas, il faut prévoir un boîtier étanche muni d’un cache.
Par ailleurs, certains dispositifs peuvent susciter la réticence des salariés. A l’instar des lecteurs d’iris, jugés parfois trop intrusifs, contrairement aux lecteurs de reconnaissance veineuse. Sachez également que si le lecteur doit être couplé avec d’autres terminaux ou communiquer avec une base de données centrale, il doit intégrer des connexions réseau et supporter le langage TCP/IP.
Autres critères à prendre en compte, la capacité mémoire et le temps de traitement du lecteur. Lequel peut varier du simple au double selon que le lecteur travaille en mode authentification (1:1), avec la lecture de carte à puce ou d’une clé USB ou en identification (1:N), avec des recherches à effectuer dans une base de données. A titre d’exemple, pour un lecteur de réseau veineux, le temps d’identification sera de deux secondes en moyenne pour 1 000 empreintes stockées contre moins d’une seconde en mode authentification/vérification.
« La biométrie garantit un accès personnalisé »
> Interview de Jean-Jacques Richard, directeur de la Sûreté et de l’Intelligence économique chez TNT Express France. Ce transporteur a mis en œuvre un système de reconnaissance veineuse pour protéger l’accès à son centre de contrôle.
« Notre centre opérationnel de contrôle est stratégique car il supervise les dispositifs de protection physiques et électroniques des sites ainsi que le suivi des véhicules équipés de GPS. Moins de dix personnes y ont accès. Nous avons opté pour un système biométrique en plus du badge d’identification car il garantit un accès personnalisé. Il y a deux ans, nous avions un lecteur d’empreintes digitales qui émettaient des rejets. Ce qui n’est pas le cas avec notre lecteur Biovein. Comme il bénéficie d’une autorisation unique, il nous a suffit de faire une déclaration auprès de la Cnil. Nous avons bien sûr informé et consulté les instances représentatives du personnel. Nous envisageons d’utiliser ce système pour protéger certaines zones très sensibles renfermant du fret à forte valeur ajoutée. »
Tenir compte des réticences
Dernier critère à prendre en compte, la convivialité du logiciel à l’enrôlement les salariés. Cette phase est importante car l’administrateur en charge du système va devoir capturer les caractéristiques physiques ou comportementales des individus. Les données biométriques sont alors traitées, numérisées, chiffrées puis stockées dans la base de données du lecteur ou sur un support individuel (badge, carte à puce, clé…). Lors de la phase de lecture, le lecteur biométrique va comparer les similitudes de la nouvelle empreinte avec les gabarits qu’il a dans sa base de données ou dans la carte à puce. Si les données concordent, l’individu est authentifié et l’application métier lui délivrera ses droits d’accès. A cet égard, la capacité du logiciel à gérer les droits d’accès des salariés en fonction de leur profil constitue un point à ne pas négliger.
Autre élément important à prendre en compte, les possibles réticences des employés. Un lecteur d’iris sera jugé, par exemple, plus intrusif qu’un lecteur veineux. Le caractère « sans contact » d’un lecteur veineux sera un « plus » face aux lecteurs d’empreintes qui posent pour certains salariés des problèmes d’hygiène. Pour lever ces réticences, certains fabricants proposent des capteurs biométriques autonettoyants.
Enfin, il est important de bien choisir son fournisseur. Mieux vaut privilégier le professionnel capable de maîtriser plusieurs types de systèmes biométriques et disposant des compétences nécessaires en serrurerie, électronique et informatique. Attention, aucun matériel et aucun fournisseur ne bénéficient pour l’heure d’un label de la Cnil. Laquelle recommande fortement de se conformer aux prescriptions formulées dans les AU tout le long de l’installation. Enfin, si l’entreprise opte pour un système ne bénéficiant pas d’autorisation unique, il faut savoir que plusieurs mois peuvent s’écouler avant de recevoir le feu vert de la commission. D’où l’intérêt de demander auprès de la Cnil un conseil d’expert (c’est une procédure gratuite) plutôt que de se lancer dans un déploiement auquel il faudra éventuellement renoncer.
Le boom annoncé des systèmes hybrides
> Les constructeurs de systèmes biométriques n’hésitent pas à combiner plusieurs technologies afin d’améliorer la performance de leurs systèmes.
Les lecteurs biométriques ne sont pas infaillibles. Leurs performances sont d’ailleurs mesurées par deux indices : le taux de fausse acceptation (TFA) et le taux de faux rejet (TFR). Le premier indique la probabilité qu’un utilisateur soit reconnu de manière erronée. Le TFR concerne la probabilité qu’un utilisateur connu soit rejeté. Ces deux indices sont liés : en réduisant le TFA, le TFR augmente et inversement. Classée en tête des systèmes biométriques les plus fiables, la lecture de l’empreinte digitale connaît, selon le site Iconoval.com, un TFA oscillant entre 0,005 et 0,1 % tandis que le TVR varierait entre 0,01 et 0,2 %. Pour améliorer la fiabilité des systèmes, les industriels travaillent sur de nouveaux capteurs et algorythmes, mais aussi sur le couplage des technologies biométriques.
Morpho, le spécialiste de l’empreinte digitale, et Hitachi, l’expert en reconnaissance veineuse, ont ainsi couplé leur technologies. Objectif : proposer un système hybride capable de capturer et traiter simultanément les deux jeux de données biométriques. D’une capacité maximale de 50 000 utilisateurs, ce nouveau dispositif baptisé Finger VP vise les applications haut de gamme et les sites sensibles, indique-t-on chez Morpho. Il offrira aux utilisateurs plus de souplesse et de sécurité et un traitement plus rapide des accès. Moins d’une seconde en authentification sera nécessaire pour traiter les données de chaque visiteur. « La lecture d’empreinte digitale demande, en effet, moins de rigueur dans le placement du doigt que celle de la veine », souligne Patrick Fornas, P-dg de SafeTIC qui commercialise cette technologie hybride. Cette solution, qui intègre aussi le système de détection de faux doigt fourni par Morpho, pourra s’intégrer dans un terminal de contrôle d’accès ou se connecter à un PC.
Autre avantage de taille, elle évitera aux utilisateurs d’avoir à gérer des badges d’identification sachant que le coût d’un terminal biométrique et celui d’un badge constituent un frein majeur au développement de la biométrie. Reste à obtenir l’autorisation de la Cnil pour déployer un tel système.
Idem pour ce système proposé par le Coréen Suprema, qui combine l’empreinte digitale et la reconnaissance faciale en s’appuyant sur différents paramètres comme l’écartement des yeux, la distance du bout du nez par rapport aux yeux, etc. Pour l’heure, aucun système hybride n’a bénéficié d’une autorisation unique. Mais cela pourra rapidement changer si la Commission reçoit un nombre significatif de demandes.
Commentez