La CNIL vient d'accorder son feu vert à la démonstration d'un nouveau type de biométrie : la reconnaissance de frappe au clavier. Une société (non identifiée) vient d'être autorisée à tester cette technologie dans le cadre d'une présentation auprès de clients potentiels.

Cette reconnaissance de frappe au clavier repose sur la biométrie comportementale. Celle-ci consiste à identifier un individu X en scrutant non sa rétine ou ses empreintes, mais des caractéristiques non physiques. La CNIL cite quelques exemples : sa manière de frapper au clavier, le maniement de sa souris ou sa démarche.

Dans tous les cas, la loi de 78 s'applique à plein régime : il s'agit d'un de ces « traitements automatisés comportant des données biométriques nécessaires au contrôle de l'identité des personnes » qui doivent donc être autorisés par la Rue Viviene.

Le 23 juin 2011, la CNIL a donc autorisé un dispositif biométrique reposant sur la reconnaissance de la frappe au clavier. « Ce dispositif s'appuie sur les variations de la durée séparant la frappe de deux touches du clavier d'un ordinateur lors de la saisie d'un identifiant et d'un mot de passe. Cette authentification vient donc s'ajouter à celle reposant sur le secret (identifiant / mot de passe) connu de l'utilisateur », afin de renforcer les contrôles.

L'avantage pour les acteurs du secteur est que ce système n'exige aucun matériel supplémentaire. « Il suffit de disposer d'un clavier, d'un ordinateur et du logiciel de reconnaissance biométrique installé sur un serveur ». La CNIL soulève cependant le risque de dispersion de données biométriques, « que son origine en soit accidentelle ou malveillante. »

Elle a demandé donc que « seules les données des personnes volontaires seraient traitées, et que ces données seraient supprimées à l'issue de la démonstration ». Elle s'est assurée par ailleurs que le résultat des analyses sera chiffré, que chaque société qui mettra en œuvre la solution disposera d'une clef de chiffrement personnelle, que la base de données du démonstrateur sera hébergée par la société démonstratrice et non par un prestataire. Mais surtout, la CNIL a demandé qu'« aucun logiciel ou dispositif matériel permettant d'enregistrer puis de simuler les caractéristiques de la frappe clavier d'une personne, notamment à son insu, ne sera installé sur le poste informatique utilisé. »

Car un autre risque menace : celui d'enregistrer discrètement la frappe clavier d'une personne afin d'en simuler les caractéristiques. Et voilà comment un individu X pourrait se faire passer pour Y, avec toutes les conséquences qu'on imagine. La CNIL explique simplement sur ce point qu'elle « examinera attentivement les prochaines demandes d'autorisation qui lui seront soumises ».