logo WK-RH

Le portail dédié aux acteurs du social, des ressources humaines et du management.

Accueil
Actualités RH
CNIL et biométrie au travail, quelles nouvelles obligations depuis le RGPD ?

xx Actualité sociale xx


CNIL

CNIL et biométrie au travail, quelles nouvelles obligations depuis le RGPD ?

Avec l’entrée en application du RGPD le 25 mai 2018, le régime juridique des données biométriques s’est renforcé. Les dispositifs de contrôle d’accès biométriques devront, pour être mis en place, être conformes à un règlement type élaboré par la CNIL. Quelles sont les nouvelles obligations des employeurs ?

15/11/2018 Semaine Sociale Lamy, n°1837

Un changement important est en cours concernant les contrôles d’accès par authentification biométrique sur le lieu de travail. En effet, la CNIL a préparé un nouveau règlement type pour régir l’utilisation des dispositifs de contrôle biométrique par les employeurs publics et privés. Ce règlement impose de nouvelles conditions très strictes qui modifient les conditions de licéité de ces systèmes.

De quoi s’agit-il ?
Les données biométriques font désor­mais l’objet d’une définition et d’une protection particulière dans le Règlement européen sur la protection des données (RGPD)1 : « Les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. »
Il s’agit donc par exemple de la reconnaissance de l’empreinte digitale, de l’iris, du contour de la main ou encore de reconnaissance faciale ou vocale ou même du réseau veineux du doigt ou de la main.
La biométrie peut être utilisée sur le lieu de travail afin de contrôler l’accès à des locaux, à des ordinateurs, ou à des applications informatiques. Dans la mesure où les données biométriques reposent sur une réalité biologique permanente d’une personne et qu’elles permettent de la reconnaître automatiquement à partir de ses caractéristiques physiques, un régime juridique très strict a été mis en place par la CNIL depuis plusieurs années afin de ne pas porter atteinte aux libertés.

Des données sensibles spécifiquement protégées par le RGPD
Avec l’entrée en application du RGPD le 25 mai 2018, ce régime juridique s’est encore renforcé, la donnée biométrique faisant désormais partie de la liste des données sensibles, c’est-à-dire selon le règlement européen, des « catégories particulières de données à caractère personnel », dont le traitement est interdit sauf exception spécifiquement encadrée, ce qui n’était pas le cas avant le 25 mai 2018.
Le RGPD prévoit maintenant que dans la mesure où les données biométriques sont des données sensibles2, au même titre, par exemple, que les données concernant la race, la santé, ou encore les opinions politiques ou religieuses3, le consentement est en principe requis, sauf exception.

Un nouveau régime depuis l’entrée en application du RGPD

Avant le RGPD
Pour rappel, les dispositifs biométriques étaient soumis à l’autorisation préalable de la CNIL avant l’entrée en application du RGPD.
En juin 2016 et suite à deux délibérations du 28 janvier 2016 par lesquelles la CNIL avait refusé la mise en œuvre d’un dispositif biométrique de reconnaissance d’empreinte digitale ayant pour finalité le suivi des heures de présence des salariés, la CNIL avait publié deux nouvelles autorisations uniques (AU-052 et AU-053) encadrant l’ensemble des dispositifs biométriques, en indiquant que tout dispositif biométrique présente des risques élevés pour les personnes concernées.
Ces deux autorisations uniques de 2016 sont encore aujourd’hui le fondement de la doctrine de la CNIL concernant les dispositifs biométriques sur le lieu de travail.

Depuis le RGPD et la nouvelle loi Informatique et libertés
La nouvelle loi Informatique et libertés applicable4 en France a complété le RGPD et a introduit sur cette base un régime spécifique pour le contrôle biométrique. En effet, l’article 8 de la loi a été modifié pour introduire une spécificité française concernant les traitements mis en œuvre par les employeurs publics ou privés, portant sur des données biométriques : ces traitements sont dispensés du consentement des salariés mais seulement à condition qu’ils soient « nécessaires au contrôle par les employeurs et les administrations de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ».
En outre, les dispositifs de contrôle d’accès biométriques devront, pour pouvoir être mis en place, être conformes à un règlement type élaboré par la CNIL.

Quelles sont les obligations dans le règlement type de la CNIL ?
L’article 11 de la nouvelle loi Informatique et libertés permet à la CNIL de prescrire des mesures complémentaires par la voie de règlements types, notamment pour le traitement des données biométriques, « en concertation avec les organismes publics et privés représentatifs des acteurs concernés ». C’est pourquoi, la CNIL a lancé une consultation publique sur son projet de règlement type qu’elle a publié et qui s’intitule « Biométrie au travail ». Cette consultation a pris fin le 1er octobre 2018 et la CNIL devrait donc prochainement publier ce règlement type.
Une fois la version finale du règlement type publiée, les traitements conformes à ces référentiels pourront alors être mis en œuvre par les employeurs. Le règlement type prescrit les obligations suivantes :
• Le traitement biométrique devra figurer dans le registre interne de l’entreprise, qui remplace les anciennes déclarations à la CNIL et les demandes d’autorisation. Le registre devra également comporter une estimation des risques et une justification du recours à la biométrie.
• L’employeur devra justifier du recours à un traitement de données biométriques, et documenter par écrit cette justification, en expliquant pourquoi le recours à d’autres mesures de protection (badges, mots de passe...) serait insuffisant compte tenu du niveau de sécurité exigé.
Il est clair que la mise en place d’un dispositif de reconnaissance biométrique est considérée par la CNIL comme un recours à une technologie particulière, dont la pertinence devra être dûment justifiée.
• Le règlement type précise également les finalités autorisées, les données autorisées, les différentes durées de conservation des données, leurs destinataires ainsi que la liste des mesures de sécurité obligatoires relativement aux données, à l’organisation, aux matériels et aux logiciels.
• L’employeur devra également respecter les autres obligations du RGPD et notamment procéder à une information écrite et complète des personnes concernées, et respecter l’exercice des droits des personnes.
• Les données biométriques d’un salarié devront être conservées sous la forme d’un gabarit chiffré ne permettant pas de recalculer la donnée biométrique d’origine. Par principe, ce gabarit devra figurer sur un support détenu par le salarié lui-même, par exemple sous forme de badge qui lui sera remis par l’employeur. Toute autre modalité de support de stockage, notamment le stockage de gabarits biométriques dans une base de données pouvant être utilisée sans l’intervention du salarié concerné, devra rester exceptionnelle. Ainsi le contrôle d’accès biométrique nécessitera l’intervention du salarié lui-même par l’utilisation de son badge. Si l’on comprend bien entendu la volonté de la CNIL de permettre aux personnes de « maîtriser » l’utilisation de leurs gabarits biométriques, force est de constater que cela ne simplifiera pas l’utilisation de la biométrie dans les entreprises puisque les salariés devront continuer à utiliser un badge.
• La CNIL précise dans son projet de règlement type que les dispositifs biométriques ne peuvent pas servir au contrôle des horaires des employés ou au contrôle du temps de travail de l’utilisateur.
Les employeurs peuvent donc avoir recours à la technologie biométrique sans le consentement des personnes contrôlées, mais uniquement aux fins du contrôle de l’accès de leurs salariés, stagiaires ou prestataires, soit à des locaux, soit à des appareils ou applications informatiques, et seulement à condition que ce recours à la technologie biométrique soit « strictement nécessaire » et « dûment justifié ». L’utilisation de la biométrie aux fins de contrôle des horaires avait déjà par le passé été considérée comme excessive par le juge et par la CNIL. La CNIL a ainsi récemment sanctionné5 une entreprise le 6 septembre 2018 afin de « rappeler aux employés leurs droits et aux employeurs leurs obligations notamment s’agissant de la biométrie sur les lieux de travail ». Le règlement type de la CNIL réaffirme cette position… Pour lire l'intégralité de l’actualité, souscrivez à une formule abonnement

Notes

1. RGPD, art. 4-14.
2. L’article 9 du RGPD liste les données sensibles dont la collecte et toute autre forme de traitement sont interdits sauf consentement explicite de la personne ou sauf exception spécifique expressément prévue par le RGPD ou par la loi : « Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits ».
3. RGPD, art. 9.
4. Loi n° 78-17 du 6 janvier 1978 modifiée le 20 juin 2018 relative à l'informatique, aux fichiers et aux libertés.
5. CNIL, délib. n° SAN-2018-009, 6 sept. 2018.

 

 

Ariane Mole, Avocat associée, cabinet Bird & Bird
Oriane Zubcevic, Avocat, cabinet Bird & Bird

« Pour signaler un contenu indésirable ou illicite, nous vous invitons à nous contacter à l'adresse suivante : contact@wk-rh.fr. »