Nous avons examiné la doctrine affichée de la
CNIL ainsi que la teneur précise de ses délibérations. Ce
faisant, nous en sommes restés au plan formel, celui où les
procédés biométriques sont jugés conformes, ou non,
au droit. Toute interrogation concernant la biométrie ne peut toutefois
éviter la question de l'irrégularité des dispositifs.
Quelle est alors l'attitude de la CNIL, investie de pouvoirs de contrôle
et de sanction ?
Celle-ci demeure assez discrète sur la nature exacte
des contrôles effectués ainsi que des sanctions
éventuellement infligées. Ses rapports n'indiquent tout au plus
que le domaine d'activité de l'organisme sanctionné, pas son nom.
Il serait donc assez difficile de se faire une idée des organismes
mettant en oeuvre des dispositifs biométriques en toute
illégalité, si ce n'était par la presse ou la vigilance
des associations. Or, toute appréciation du statut et des fonctions de
la biométrie doit prendre en compte les irrégularités
inéluctables dans leur mise en oeuvre. Ainsi de cette école
maternelle, et d'une école primaire, à Grasse, qui ont
installé, sans autorisation de la CNIL, des dispositifs de
reconnaissance d'empreintes digitales427. A ce jour, la CNIL ne
semble pas avoir pris de sanction à leurs égard428. Ou
encore du lycée de Gif-sur-Yvette, ou du lycée Maurice Ravel
à Paris, qui ont installé leurs dispositifs avant d'effectuer
leurs demandes à la CNIL4~9. Dans ces deux cas, la
CNIL a accepté de légaliser a posteriori le
dispositif43°. On peut encore citer l'exemple du lycée
Jean Giraudoux de Bellac, qui a installé sans autorisation de la CNIL un
dispositif de reconnaissance du contour de la main en 2005, et a recueilli
les
427 Pigalle, Fabien (2008), « La biométrie
s'installe illégalement dans les écoles », Nice Matin,
27 novembre 2008.
428 Elle avait autorisé en 2006, dans la même
ville, un dispositif de reconnaissance du contour de la main pour un
lycée professionnel (Délib. n°2006-106 du 27 avril 2006;
lycée Léon Chiris ; contour de la main ; contrôler
l'accès au restaurant scolaire).
429 Cousin, Capucine (2006), « La Cnil inquiète du
développement futur de la biométrie et de la
géolocalisation », Les Echos Judiciaires Girondins,
Journal n°5 247 du 21 avril 2006; « Destruction
d'un dispositif biométrique dans un lycée du 91 »,
Multitudes Web, 29 novembre 2005.
43° Délib. n°2006-006 du 12 janvier 2006
(lycée de la Vallée de Chevreuse); délib. n°2006-049
du 23 février 2006 (lycée Maurice Ravel).
Chapitre III:La CNIL, texte réglementaire et doctrine
p. 164
caractéristiques biométriques des mineurs
à la rentrée, sans l'autorisation des familles431.
A ces réserves près, il n'en demeure pas moins
que les activités de contrôle de la CNIL permettent à
celles-ci d'exercer des pressions sur les organismes repérés,
bien qu'elle n'utilise son pouvoir de sanction pécuniaire qu'en dernier
recours, se montrant relativement compréhensible sur les délais
de mise en régularité.
Ainsi, à l'issue d'un contrôle effectué
en juillet 2007 au poste de police municipale de Bussy Saint-Georges, elle a
noté l'utilisation illégale d'un dispositif couplant
vidéosurveillance et système de stockage d'empreintes digitales
des 45 employés, permettant de contrôler les horaires.
Début septembre 2007, elle donne deux mois à la police municipale
pour régler sa situation. En novembre, la situation n'était pas
réglée. Selon la presse, Bussy Saint-Georges avait encore un mois
pour se régulariser, avant de s'exposer à une sanction
pénale432. Aucune n'ayant été rapportée
dans le rapport d'activité de la CNIL de 2008, il semble qu'elle se
soit, quoique avec réticence, mise en conformité avec la
réglementation.
Le lycée professionnel Marcel-Lamy (75017) a
été contrôlé à deux reprises par la CNIL, en
2006 et 2008433. L'établissement utilisait un dispositif
biométrique de contrôle d'accès utilisant les empreintes
digitales stockées sur support central. Un temps appliqué aux
élèves, il avait ensuite été restreint aux
enseignants. Le Parisien relève que certains professeurs
étaient favorables au système, seul l'un d'entre eux
s'étant opposé au relevé de ses empreintes, et qu'une
pétition en faveur de la biométrie avait
circulée434. L'établissement n'ayant pas
été condamné, on présume qu'il a depuis
régularisé sa situation en envoyant à la CNIL un
engagement de conformité, conformément à l'AU-oo9, bien
que cela aurait mis plus de dix mois.
Cette tolérance relative vis-à-vis de
dispositifs biométriques doit être mis en parallèle avec la
sévérité dont la CNIL sait faire preuve dans d'autres cas,
par exemple
431 SUD (2007), « Attention où tu mets les mains!
», journal de SUD Education, décembre 2006-janvier 2007,
p.2
432 Cordillot, Gilles (2007), « Vidéosurveillance et
biométrie illégales », Le Parisien, 9 novembre
2007.
433 Voir la liste des organismes contrôlés dans le
27e et le 29e rapport d'activité de la CNIL.
434 Fertin, Nicolas (2007), « Pour entrer, les profs
devaient donner leurs empreintes », Le Parisien, 26 janvier
2007.
Chapitre III:La CNIL, texte réglementaire et doctrine p.
165
sur les questions du fichier de gestion de la clientèle
et du passe RFID Korrigo de la société Keolis Rennes, qui a
écopé d'un avertissement435, ou du Leclerc qui a
écopé de 30 000 euros d'amende, en raison du caractère des
informations portées dans son fichier, de l'usage, sans information du
public, de la vidéosurveillance, ainsi que d'un logiciel de
contrôle des horaires 436. On peut aussi la comparer avec
celle de l'Autorité grecque, qui a imposé une amende de 8 000
euros pour l'installation illégale d'un dispositif biométrique de
contrôle des entrées et des sorties sur un lieu de travail, et
ordonné la désinstallation du système437.
435 Délib. n°2009-002 du 20 janvier 2009 .
436 Délib. n° 2008-187 du 3 juillet 2008 ; CNIL,
« 30 000 euros d'amende pour un centre commercial LECLERC qui ne respecte
pas la loi informatique et libertés », communiqué du 27 mars
2009.
437 HDPA, décision n°62/2007, citée dans le
11e rapport annuel du G29, p.58
