Biométrie au travail : la CNIL adopte un règlement type

16 Avr 2019
Anne-Lise BOULET
543
0

La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 28 mars dernier son règlement type « biométrie sur les lieux de travail »

« La biométrie s’entend d’un procédé de vérification de l’identité et d’authentification d’un individu utilisant des caractéristiques physiques inhérentes à sa personne »

Ce règlement fixe les règles applicables à toute utilisation de données biométriques imposée par un employeur du secteur public ou privé à son personnel pour le contrôle des accès aux locaux, aux applications et aux outils de travail.

Un cadre juridiquement contraignant

Avec la réécriture de la loi Informatique et Libertés, le législateur français a donné à la CNIL de nouveaux pouvoirs de régulation.

La Commission peut ainsi établir, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, des règlements types afin d’encadrer les traitements de données biométriques, génétiques et de santé. A ce titre, ce règlement type est juridiquement contraignant pour les organismes. Il est donc important de noter que, contrairement aux référentiels ou recommandations que la CNIL adopte, le respect de ce règlement est obligatoire pour tout organisme qui souhaite mettre en place un dispositif biométrique pour le contrôle des accès sur les lieux de travail.

Les points importants à retenir

        • Le type de données biométriques concernées :

Le règlement type rappelle que l’authentification biométrique basée sur des caractéristiques morphologiques (iris, empreinte digitale, réseau veineux de la main, etc.) est autorisée, au contraire de celle nécessitant un prélèvement biologique (salive, sang, etc.)Par ailleurs, le responsable du traitement doit justifier et documenter le choix du type de biométrie utilisée, et notamment pourquoi il a choisi une caractéristique biométrique plutôt qu’une autre.

        • La justification du recours à un traitement de données biométriques :

Le responsable du traitement doit démontrer la nécessité de recourir à un dispositif biométrique plutôt qu’à d’autres dispositifs d’identification (badges, mots de passe, etc.) pour atteindre le niveau de sécurité exigé. Pour cela, une documentation doit être tenue par le responsable du traitement, détaillant le contexte du traitement rendant nécessaire un niveau de protection élevé (manipulation de machines ou produits dangereux, à du matériel faisant l’objet d’une règlementation spécifique) et démontrant l’insuffisance d’un autre dispositif moins intrusif.

        • Le choix des modalités de détention du gabarit :

Différents types de détention de gabarits biométriques sont envisageables, distingués selon le degré de maîtrise des personnes concernées sur le support de conservation. Le règlement type précise qu’en principe, dans le cadre de traitements de données biométriques, les employeurs ne peuvent utiliser que des gabarits de type 1, c’est-à-dire sous maîtrise des personnes concernées (le support de stockage est détenu par la personne elle-même, par exemple un badge. Les gabarits de type 2 (sous maîtrise partagée) et de type 3 (non maîtrisés par les personnes concernées) peuvent être utilisés seulement dans des circonstances particulières. En outre, la décision de recourir aux gabarits de type 2 ou 3 doit être documentée par le responsable du traitement en justifiant le choix effectué.

        • La sécurité des données :

Le règlement type impose aux organismes de mettre en place au minimum les mesures de sécurité techniques et organisationnelles expressément définies dans le texte, et à défaut des mesures dont ils démontrent qu’elles sont équivalentes.

        • L’analyse d’impact relative à la protection des données :

Le règlement type rappelle l’obligation d’effectuer une analyse d’impact pour les traitements de données biométriques aux fins d’identifier une personne physique considérée comme « vulnérable » (salariés, mineurs, personnes âgées, patients, etc.), conformément à la liste adoptée par la CNIL sur les types d’opérations de traitement pour lesquelles une analyse d’impact est requise.