Pour renforcer la sécurité des bâtiments, le contrôle d’accès biométrique se démocratise. Mais son déploiement est soumis à l'autorisation de la Cnil, gardienne de la vie privée des salariés et de leurs données personnelles.
Pour éviter les détournements internes ou préserver la confidentialité de certaines données sensibles, de plus en plus d’entreprises cherchent à filtrer l’accès à leur salles informatiques ou au département R&D. Les activités les plus sensibles, comme le nucléaire, l’armement, la fabrication de monnaie ou de produits pharmaceutiques, ont, d’ailleurs, été les premiers à adopter des systèmes biométriques pour sécuriser leurs bâtiments en authentifiant et en traçant les allers et venues des salariés et des visiteurs. Depuis quatre ans environ, ces pratiques se démocratisent dans les data centers, les tours de contrôles des transporteurs routiers, voire même dans certaines sociétés d’investissements.
A l’instar d’Arkeon Finance. Implantée dans un immeuble tertiaire, cette entreprise d’une quarantaine de salariés utilise depuis un an un lecteur de reconnaissance veineux du doigt, le Biovein de Safe-Tic, pour sécuriser ses locaux et protéger ses données sensibles du regard d’éventuels intrus. « Chaque jour, nos employés passent leur doigt devant le lecteur de reconnaissance veineuse qui protège la porte principale mais aussi la salle informatique », témoigne Charles-Henri Berbain. « Les visiteurs sont surpris et intéressés. Nous avons même fait des émules dans le secteur de la finance et l’industrie. »
S’il paraît séduisant de filtrer l’entrée d’un bâtiment ou d’une pièce par un système biométrique plutôt qu’avec une clé ou un badge, il faut néanmoins savoir que son déploiement est réglementé en France. Principale raison, il s’agit de protéger la vie privée des salariés d’éventuels détournements de ses informations personnelles. Surtout quand elles sont stockées dans une base de données centrales. D’où les réserves de la Commission nationale informatique et liberté (Cnil) qui veille à protéger les données personnelles des individus des dérives potentielles de la biométrie. Laquelle recouvre un ensemble de procédés qui tendent à identifier un individu à partir de ses caractéristiques physiques (empreintes digitales, réseaux veineux du doigt, du contour de la main, iris, rétine, forme du visage, etc.), physiologiques (ADN) ou comportementales (signature ou démarche).
Ces technologies utilisées seules ou combinées entre elles peuvent être renforcées d’un digicode ou d’une carte d’identification. Cette dernière variante devient même obligatoire dès lors que l’entreprise veut déployer un système de lecture d’empreinte digitale. C’est du moins ce qu’exige la Cnil.
En vertu de la loi Informatique et Libertés de 2004, cette instance dispose d’un pouvoir d’autorisation expresse sur les dispositifs biométriques. Certains systèmes dits à trace tel que la reconnaissance du visage ou de l’iris et la lecture d’empreintes digitales peuvent être facilement détournées à des fins d’usurpation d’identité. Voilà pourquoi ils doivent faire l’objet d’une demande d’autorisation détaillée.
Des milliers de demandes par an
Ce cadre réglementaire n’empêche pas les systèmes biométriques de se développer en France. « Nous recevons des milliers de demandes par an », fait remarquer Judicaël Phan, juriste à la Cnil. Pas forcément hostile, cette instance a mis en place dès 2006 des formalités allégées réservées à certains dispositifs dits sans traces et qui bénéficient d’une autorisation unique. En résumé, une simple déclaration de conformité suffit dès lors que l’accès au lieu de travail est soumis à la lecture du contour de main ou à la reconnaissance veineuse du doigt. La lecture d’empreintes digitales peut bénéficier de ces formalités si elle est couplée à la lecture des données biométriques stockées sur une carte à puce ou sur une clé USB car, dans ces cas, les empreintes sont sous le contrôle de leurs propriétaires.
Grâce à quoi, en 2009, la Cnil a accordé 820 autorisations uniques (AU). Plus de la moitié concerne le réseaux veineux du doigt (AU019), 134 portent sur les empreintes digitales enregistrées sur support individuel (AU 008) et 133 concernent le contour de main (AU 007). Robustes et fiables, les lecteurs de contour de main existent depuis quelques décennies. On dénombre plus de 100 000 appareils déjà installés dans le monde. Ils sont aussi bien utilisés pour du contrôle d’accès que pour des applications de gestion du temps et de restauration sur les lieux de travail. Seule contrainte imposée par la Cnil, les appareils ne peuvent embarquer qu’une seule application à la fois. En France, le marché est dominé par le HandKey, lecteur fourni par Schlage Recognition Systems du groupe américain Ingersoll Rand. Cet appareil effectue une analyse en 3D de la main à l’aide d’une caméra infrarouge. Une fois l’image saisie, le contrôle prend en compte jusqu’à 90 caractéristiques (contre 12 pour les doigts). Entre autres, la forme de la main, la longueur et la largeur des doigts, la largeur des articulations… « Il s’agit d’une des technologies les plus fiables. A ceci près que des jumeaux peuvent avoir la même morphologie », prévient Medhi Himeur, gérant de Biotime Technology, un distributeur installateur de systèmes biométriques. Autre bémol, le fonctionnement du lecteur nécessite que l’on tape un code d’accès. Ce qui augmente le temps de traitement.
Le marché de la biométrie va plus que doubler en 2014
Après le contrôle aux frontières et les affaires judiciaires, les applications
biométriques les plus courantes concernent les terminaux de paiement,
la protection des données des ordinateurs et la sécurité des lieux de travail.
Pour l’heure, ce marché ne représenterait que 5 à 10 % du chiffre d’affaires
du marché de la biométrie. Selon un rapport publié en novembre 2008
par l’International Biometric Group, le marché mondial de la biométrie devrait
passer de 3,4 milliards de dollars en 2009 à 9,4 milliards en 2014, soit
un triplement du marché en cinq ans. Les empreintes digitales représentent
la principale technologie biométrique en termes de part de marché, soit 46 %
du chiffre d’affaires total. Quant à la reconnaissance faciale, elle pèse 18,5 %
et celle de l’iris, 8,3 %. L’analyste estime enfin que la reconnaissance veineuse
va jouer un rôle plus important dans les applications de contrôle d’accès en
gagnant 10 % des parts de marché.
Le boom du veineux
Moins volumineux que les lecteurs de contours de main et en général plus design, les lecteurs de reconnaissance veineuse gagnent depuis deux ans du terrain en France. « Ces systèmes ont révolutionné notre métier », s’exclame d’ailleurs Pascal Lentes, gérant d’Abiova, un distributeur de systèmes biométriques. Le développement de ces lecteurs dits sans contact bénéficie de la puissance de frappe de trois géants de l’électronique : Hitachi, Sony et Fujitsu. A la différence de ses concurrents nippons, ce dernier a développé une lecture non pas du doigt mais de la paume de la main. « Point fort, ce dispositif permet d’avoir une meilleure identification avec un taux d’acceptation erroné très bas entre 0,01 % à moins de 0,0001 %», assure Nicolas Sautier, en charge du marketing chez Fujitsu. « Notre technologie requiert en moyenne deux secondes pour l’enrôlement (phase d’acquisition de l’empreinte). Puis autour de la seconde pour la lecture », indique le fabricant qui a d’ailleurs noué un partenariat avec Zalix pour commercialiser ce système proposé en version intérieure et extérieure. D’une capacité de 1000 utilisateurs, le terminal de contrôle d’accès VeinAccess Intelligent Security s’installe aussi bien en intérieur qu’en l’extérieur. Cet appareil sait fonctionner en identification de la main seule, mais aussi couplé avec une lecture de badge Mifare.
De son côté, Hitachi a signé en Europe plusieurs partenariats. Citons notamment le Biovein de SafeTIC (ex Easydentic) et le Fingervein de Kimaldi. Lequel intègre un digicode et un lecteur RFID capable aussi de lire des badges Mifare. « Nous fournissons même un kit d’intégration pour développer des applications personnalisées », indique Philibert Viltange, responsable de Kimaldi France.
Bien sûr, les lecteurs d’empreintes digitales évoluent vers plus de compacité et de sécurité. En témoigne la technologie de comparaison embarquée sur carte à puce (On-Card Biometric Comparison ou Match-On-Card) développée par ID3 Semiconductors. Combinant biométrie et carte à puce, ce système consiste à stocker le gabarit de l’empreinte dans une carte à puce et à effectuer la comparaison dans son processeur et non dans le terminal de lecture externe. Ce qui évite le risque de vols de données. Avant que cette technologie se développe massivement, les lecteurs d’empreintes classiques ont encore de beaux jours devant eux. Certains se distinguent par une capacité de traitement d’empreintes quasiment illimitée. C’est du moins ce que revendique le Cabaprox, du Français CDVI, qui intègre un lecteur de Tag Mifare disposant d’une antenne de lecture écriture. En outre, la lecture de l’empreinte se fait par défilement du doigt pour ne pas laisser de traces sur le capteur. Le capteur autorise même les doigts moites.
Du côté de la reconnaissance faciale, des progrès sont aussi enregistrés avec des images en 3D. Parmi les leaders du marché, A4 Vision propose un produit dédié au contrôle d’accès capable de fonctionner sous des angles différents et sous des conditions de luminosité variables, y compris la nuit. Le système fonctionne aussi bien en mode authentification, c’est-à-dire couplé à une carte, qu’en mode identification. Dans ce cas, il va effectuer jusqu’à 8 ou 10 recherches complètes par seconde dans sa base de données de plusieurs milliers d’utilisateurs.
Promise à un beau décollage, la reconnaissance du visage reste loin derrière la lecture d’empreinte digitale qui domine encore le marché de la biométrie. Principaux atouts, sa fiabilité et son coût sachant qu’il faut compter quelques centaines d’euros pour les lecteurs d’empreintes digitales. Mais à moins de bénéficier d’une autorisation de la Cnil, l’utilisateur devra prévoir dans la plupart des cas de mettre en place une gestion de cartes d’identification ou de clés USB. Voilà pourquoi, les lecteurs du réseau veineux ou de la morphologie de la main restent intéressants même s’il faut compter entre 2500 et 3000 euros par terminal. Certains professionnels, comme SafeTIC, proposent d’ailleurs des lecteurs veineux en mode locatif, moyennant une centaine d’euros par mois.
Empreintes digitales, les mises en garde de la Cnil
Les systèmes biométriques à empreinte digitale ne sont justifiés, selon la Cnil,
que s’ils sont fondés sur un fort impératif de sécurité et s’ils satisfont aux
exigences suivantes. D’abord, le système doit être limité au contrôle d’accès
d’un certain nombre de personnes et dans une zone bien déterminée
représentant, ou contenant, un enjeu majeur tel que la protection des biens
et des personnes. Ensuite, il doit être proportionné à la finalité définie.
Par ailleurs, le dispositif doit permettre à la fois une authentification et/ou
une identification fiable des personnes et comporter toutes garanties
de sécurité pour éviter la divulgation des données. Enfin, les personnes
concernées doivent être prévenues. Cette communication doit être réalisée
dans le respect de la loi « Informatique et Libertés » et, le cas échéant,
du code du travail.
Commentez