Au cours de sa séance du 23 juin 2011, la CNIL a examiné un nouveau type de biométrie reposant sur la reconnaissance de la frappe au clavier. Elle a autorisé une société à mettre en œuvre cette technologie à des fins de démonstration auprès de clients potentiels.
La biométrie comportementale permet d’identifier un individu en utilisant une ou plusieurs de ses caractéristiques non physiques (par exemple, sa manière de frapper au clavier, le maniement de sa souris ou sa démarche). Sa mise en œuvre doit être préalablement autorisée par la CNIL (article 25-I-8° de la loi informatique et libertés).
Le 23 juin 2011, la CNIL a autorisé pour la première fois un dispositif biométrique reposant sur la reconnaissance de la frappe au clavier. Ce dispositif s’appuie sur les variations de la durée séparant la frappe de deux touches du clavier d’un ordinateur lors de la saisie d’un identifiant et d’un mot de passe. Cette authentification vient donc s’ajouter à celle reposant sur le secret (identifiant / mot de passe) connu de l’utilisateur.
Contrairement à d’autres types de biométrie, la reconnaissance de la frappe au clavier ne nécessite pas de matériel particulier. Aucun lecteur biométrique n’est en effet nécessaire. Il suffit de disposer d’un clavier, d’un ordinateur et du logiciel de reconnaissance biométrique installé sur un serveur.
La CNIL est particulièrement vigilante sur le risque de dispersion des données biométriques, que son origine en soit accidentelle ou malveillante. Lors de l’examen de la demande d’autorisation, elle s’est assurée que seules les données des personnes volontaires seraient traitées, et que ces données seraient supprimées à l’issue de la démonstration.
La Commission a vérifié que plusieurs mesures de sécurité seraient déployées pour assurer la confidentialité des données :
le résultat de l’analyse des données de frappe sera chiffré afin de garantir sa confidentialité ;
chaque société qui mettra en œuvre la solution disposera d’une clef de chiffrement personnelle ;
la base de données du démonstrateur sera hébergée par la société démonstratrice et non par un prestataire ;
la société s’assurera qu’aucun logiciel ou dispositif matériel permettant d’enregistrer puis de simuler les caractéristiques de la frappe clavier d’une personne, notamment à son insu, ne sera installé sur le poste informatique utilisé.
Enfin, l’autorisation a été délivrée pour une finalité limitée : la démonstration du fonctionnement du dispositif à de potentiels clients. La biométrie comportementale par frappe au clavier peut être utilisée, en complément d’un traditionnel identifiant / mot de passe, pour renforcer l’authentification d’une personne et lui permettre d’accéder à des applications Internet ou à un système d’information (par exemple, l’intranet d’une entreprise).
Dans la mesure où ce type de biométrie peut présenter des risques (par exemple, l’enregistrement puis la simulation des caractéristiques de la frappe clavier d’une personne, à son insu notamment par le biais de mouchards pour clavier), la CNIL examinera attentivement les prochaines demandes d’autorisation qui lui seront soumises.
CNIL