A cet égard, comme indiqué précédemment, la
Commission recommande que les gabarits soient
stockés sous le contrôle exclusif de la personne
concernée, soit en l’enregistrant sur un support
individuel de type badge ou téléphone, soit en le
conservant en base en le protégeant par un
élément ou un secret que la personne concernée
est seule à détenir. Ceci a pour objectif de limiter
la constitution de bases de données centralisant
un nombre important de gabarits biométriques et,
de ce fait, les risques de préjudice en cas de
violation de données. Cela vise en effet à éviter
tout accès non autorisé aux données et, en cas de
compromission, à faire en sorte que celle-ci porte
exclusivement sur la seule donnée stockée et non
tous les gabarits des personnes concernées par le
traitement.
Dans la mesure où vous indiquez que le
« portique virtuel » serait associé à des moyens
classiques d’identification (badges ou codes
virtuels sur un téléphone mobile par exemple), ne
serait-il pas envisageable de prévoir que le
gabarit biométrique utilisé pour la comparaison
faciale soit stocké sur un tel support ?
Deux options sont possibles en matière de
stockage :
OPTION 1 : Stockage en base de données
Le système est constitué :
1- De deux bases de données créées pour
l’expérimentation :
- Une base de données « identité » : le nom, le
prénom, un identifiant numérique (au choix
NFC ou QR Code) ;
- Une base de données « biométrique » qui
contient : l’identifiant numérique, un hachage
obtenu par cryptage du gabarit biométrique.
Les images faciales prises lors de
l’enregistrement d’une personne (lycéen,
personnel) sont traitées par un algorithme qui
détermine le profil biométrique facial. Ce
gabarit, composé de points de références,
n’est pas conservé en base de données. La
seule donnée conservée en base est un
hachage, produit par un cryptage irréversible
du gabarit biométrique, qui ne permet pas de
reconstituer le gabarit initial. Cette deuxième
base de données n’est accessible en lecture
que par le processus de comparaison. Aucun
administrateur humain n’y aura accès en
lecture ; les seuls accès autorisés pour cet
administrateur sont : la création d’un champ
et la suppression d’un champ.
2- D'un système permettant de lire l’identifiant
numérique sur le lecteur (NFC ou QR Code), de
détecter le visage grâce aux caméras couplées au
lecteur, d'en extraire un gabarit, de le passer dans
le processus de cryptage et de hachage explicité
ci-dessus puis de le comparer à la volée avec la
donnée stockée en base correspondant à
l’identifiant numérique.