10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 1

ASPECTS JURIDIQUES

"LA BIOMÉTRIE VA-T-ELLE PÉNÉTRER DE MANIÈRE IRRÉVERSIBLE NOTRE QUOTIDIEN ?» - PARIS 10-04-2014

Me Cathie-Rosalie JOLY

Avocat Associé Cabinet Ulys

Docteur en droit , thèse sur les paiements en ligne

Avocat au barreau de Paris

Avocat communautaire au barreau de Bruxelles (Liste E)

Chargée d’enseignement à l’Université Paul Cezanne (Aix Marseille III)

cathierosalie.joly@ulys.net

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 2

L’UTILISATION DE LA BIOMÉTRIE DANS LE MONDE BANCAIRE

Notions clés E-banque, E-paiement : enjeux

spécifiques Principes fondamentaux et encadrement

juridique de la biométrie

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 3

Identité : « ensemble des composantes grâce auxquelles il est établi qu’une personne est bien celle qui se dit ou que l’on présume telle (nom, prénom, nationalité, filiation…) » - Lexique des termes juridiques, Dalloz

Identification : administration de la preuve de l’identité d’une personne, par celle-ci ou un tiers, en vue de l’attribution de droits et/ou d’obligations dans son chef

Identité

Authentification (ou vérification) : administration de la preuve de la correspondance entre une identité enregistrée et une identité alléguée

Authentification forte : Authentification à deux (ou x) facteurs par usage de : codes à usage unique, biométrie, certificats numériques

Identité enregistrée et vérifiée

I - IDENTIFICATION, AUTHENTIFICATION, BIOMÉTRIE : NOTIONS CLÉS

Biométrie : « Ensemble des procédés tendant à identifier un individu à partir de la « mesure » de l’une ou de plusieurs de ses caractéristiques physiques, physiologiques ou comportementales » (Communication de la CNIL relative à la mise en œuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données)

La biométrie regroupe des données disparates :

(i) caractère sensible de certaines données, révélant origine, état de santé, etc. (ADN par ex.) ;

(ii) données avec traces (empreintes digitales) ou sans traces (réseau veineux du doigt), …

=> Traitement juridique différencié

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 4

II - E-BANQUE, E-PAIEMENTS : ENJEUX SPÉCIFIQUES DE LA BIOMÉTRIE

Lors de l’entrée en relation entre le

prestataire de services de paiement et le client

=> Contrats à distance ou dématérialisés

Lors de l’exécution des transactions

=> sécurisation de l’ordre de paiement

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 5

II - E-BANQUE, E-PAIEMENTS : ENJEUX SPÉCIFIQUES DE LA BIOMÉTRIE

Reconnaissance légale de l’authentification et des dispositifs de sécurité personnalisés (DSP)

DSP2 renforcement : authentification forte

Proposition de directive : Article 4, point 22 : «authentification forte du client»: une procédure de validation de l’identification d’une personne physique ou morale reposant sur l’utilisation de deux éléments ou plus appartenant aux catégories connaissance, possession et inhérence, qui sont indépendants, en ce sens que la compromission de l’un ne remet pas en question la fiabilité des autres, et qui est conçue de manière à protéger la confidentialité des données d’authentification. »

Article 87

« 1. Les États membres veillent à ce qu'un prestataire de services de paiement applique l’authentification forte duclient lorsque le payeur initie une opération de paiement électronique, sauf dérogation spécifique fondée sur lerisque lié au service de paiement fourni, prévue par les orientations de l’ABE (…)

Initiatives des opérateurs :

Délibération CNIL n°2009-700 du 17 décembre 2009 autorisant Banque Accord à mettre en place à titre expérimental un système de paiement sans contact avec authentification biométrique du payeur : réseau veineux (Délibération n°2011-200 du 30 juin 2011? Délibération n°2012-033 du 2 février 2012)

Empreinte digitale : Mobile World Congress 2014 – Paypal et Samsung Galaxy S5

Reconnaissance Faciale : Uniqul a développé une technologie de reconnaissance faciale qui charge automatiquement vos données personnelles de paiement et facilite la transaction (supermarchés en Finlande)

Authentification vocale : Banque Postale CNIL Délibération n°2013-198 du 11 juillet 2013

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 6

II - E-BANQUE, E-PAIEMENTS : ENJEUX SPÉCIFIQUES DE LA BIOMÉTRIE

Dématérialisation des contrats : Signature électronique :

Reconnaissance légale de la signature électronique : Directive 1999/93/CE du 13 décembre 1999

Signature électronique : « donnée sous forme électronique, qui est jointe ou liée logiquement à d'autres données électroniques et qui sert de méthode d'authentification » (art. 2, 1)

Signature électronique avancée : « signature électronique qui satisfait aux exigences suivantes:

a) être liée uniquement au signataire; b) permettre d'identifier le signataire;

c) être créée par des moyens que le signataire puisse garder sous son contrôle exclusif, et

d) être liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable » (art. 2, 2)

• Signature électronique avancée basée sur un certificat qualifié et basée sur un dispositif sécurisé de création de signature avec Certificat (« attestation électronique qui lie les données afférentes à la vérification de signature à une personne et confirme l’identité de cette personne »

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 7

II - E-BANQUE, E-PAIEMENTS : ENJEUX SPÉCIFIQUES DE LA BIOMÉTRIE

Validité de la signature électronique

Validité : « Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat. » (art. 1316-4 c. civ.)

Pour être admissible(art. 1316-1 c. civ.) elle doit garantir l’authentification : « la personne dont il émane » et l’ intégrité dans la conservation et l’établissement du document

Admissibilité : « L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier » (art. 1316-1 c. civ.)

Initiatives des opérateurs

Délibération n°2012-101 du 5 avril 2012 Natixis sign. Électronique empreinte digitale

Voix , Signature sur tablette

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 8

III - PRINCIPES FONDAMENTAUX ET ENCADREMENT JURIDIQUE DE LA BIOMETRIE

G29 : Document de travail sur la biométrie, 1er août 2003 (GT80)

- sur le fondement du principe de proportionnalité, le G29 recommande qu’« une préférence claire » soit accordée aux applications biométriques qui :

- ne traitent pas de données obtenues à partir de traces physiques laissées par des personnes à leur insu,

- ne stockent pas les données dans un système centralisé. »

Cour européenne des droits de l’homme, 4 décembre 2008 S. et Marper c/ Royaume Uni (req. N° 30562/04 et 30566/04)

« les empreintes digitales contiennent objectivement des informations uniques sur l’individu concerné et permettent une identification précise dans un grand nombre de circonstances. Les empreintes digitales sont donc susceptibles de porter atteinte à la vie privée, et leur conservation sans le consentement de l’individu concerné ne saurait passer pour une mesure neutre ou banale. » (§ 84)

France - Respect de grands principes : légitimité, acceptation, proportionnalité, sécurité

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 9

Procédure CNIL

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 10

III - PRINCIPES FONDAMENTAUX ET ENCADREMENT JURIDIQUE DE LA BIOMETRIE

Dispositifs relevant d’une demande d’autorisation spécifique, la CNIL se réfère à quatreprincipes :

la finalité du traitement,

la proportionnalité entre la finalité et les risques en matière de protection des données et de la vie privée,

la sécurité,

l’information des personnes concernées

Les personnes concernées par le dispositif biométrique doivent être clairement informées de ses conditions d’utilisation, de son caractère obligatoire ou facultatif, des destinataires des informations collectées et des modalités d’exercice de leurs droits d’opposition, d’accès et de rectification.

Lorsque la réglementation l’exige (Droit du travail ou fonction publique), les instances représentatives du personnel doivent être consultées et informées avant la mise en œuvre des dispositifs.

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 11

III - PRINCIPES FONDAMENTAUX ET ENCADREMENT JURIDIQUE DE LA BIOMETRIE

Projet de règlement données personnelles (Résolution législative du Parlement européen du 12 mars 2014 sur la proposition de règlement du Parlement )

«données biométriques»: toutes les données à caractère personnel relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique qui permettent son identification unique, telles que des images faciales ou des donnéesdactyloscopiques;

Dispositions spécifiques art 9 § 2 et 3 : interdiction du traitement de données biométriques sauf si l'une des conditions suivantes est remplie :

a) la personne concernée a donné son consentement au traitement de ces données à caractère personnel à une ou plusieurs fins spécifiques, dans les conditions fixées à l'article 7 et à l'article 8, sauf lorsque le droit de l'Union ou la législation nationale prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée, ou

a bis)le traitement est nécessaire aux prestations ou à l'exécution d'un contrat auquel la personne concernée est partie ou à l'exécution de mesures précontractuelles prises à la demande de celle-ci;

b)le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement en matière de droit du travail, dans la mesure où ce traitement est autorisé par le droit de l'Union ou par une législation nationale ou par des conventions collectives prévoyant des garanties appropriées protégeant les droits fondamentaux et les intérêts de la personne concernée, tels que le droit à la non-discrimination, sous réserve des conditions et des garanties prévues à l'article 82; ou

c)le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement, ou

(…)

3. Le comité européen de la protection des données est chargé de publier des lignes directrices, recommandations et bonnes pratiques pour le traitement des catégories particulières de données à caractère personnel (…)

Art 79 – 2bis : une amende pouvant atteindre 100 000 000 EUR ou au maximum 5 % du chiffre d'affaire annuel mondial dans le cas d'une entreprise, le montant le plus élevé devant être retenu.

10/04/2014 www.ulys.net - © ULYS 2014 – cathierosalie.joly@ulys.net 12

New Technologies, Privacy & ICT

Intellectual Property

Cinema, Media & Entertainment

E-Payment, E-Finance & Internet Banking

Sport & Gaming

Commercial Law

ULYS, un Cabinet d’avocats moderne et humain au service de l’innovation !

MERCI POUR VOTRE ATTENTION

DO

MA

INES

D’IN

TER

VEN

TIO

N

Me Cathie-Rosalie JOLYcathierosalie.joly@ulys.net

"LA BIOMÉTRIE VA-T-ELLE PÉNÉTRER DE MANIÈRE IRRÉVERSIBLE NOTRE QUOTIDIEN ?» - PARIS 10-04-2014