logo WK-RH

Le portail dédié aux acteurs du social, des ressources humaines et du management.

Accueil
Actualités RH
La Cnil réglemente le recours à la biométrie sur les lieux de travail

xx Actualité sociale xx


LIBERTÉS INDIVIDUELLES

La Cnil réglemente le recours à la biométrie sur les lieux de travail

Encadrer le recours à des dispositifs biométriques pour contrôler l’accès aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, tel est l’objet de la délibération de la Cnil datée du 10 janvier dernier et publiée au Journal officiel du 28 mars 2019. Des recours autorisés aux mesures à mettre en œuvre pour sécuriser les données collectées, la Commission pose clairement les règles.

02/04/2019 Liaisons Sociales Quotidien, 02/04/2019

La loi nº 2018-493 du 20 juin 2018 a confié à la Cnil la mission d’établir et de publier des « règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ». C’est dans ce cadre que s’inscrit la délibération de la Commission du 10 janvier 2019, publiée au JO du 28 mars. Faisant suite à la consultation publique menée au cours du mois de septembre 2018, la Cnil a en effet adopté un règlement précisant le cadre du recours à la biométrie sur les lieux de travail. Un système qui présente en effet des risques en ce qu’il permet d’enregistrer les caractéristiques biologiques, physiques ou comportementales des salariés.

Un recours à justifier

Rappelons que par une délibération nº 2018-009 du 6 septembre 2018, la Cnil a condamné l’utilisation de tout dispositif biométrique à des fins de gestion des horaires des salariés, à moins de « démontrer qu’il existe des circonstances exceptionnelles fondées sur un impératif spécifique de sécurité » (v. l’actualité nº 17672 du 15 octobre 2018).

C’est donc sans surprise qu’elle se montre également stricte s’agissant d’une utilisation à des fins de contrôle d’accès. Celui-ci n’est autorisé que pour contrôler l’accès aux appareils, applications informatiques et locaux limitativement identifiés. Et il incombe au responsable de traitement de démontrer la nécessité du recours à un dispositif biométrique, en détaillant notamment « le contexte spécifique rendant nécessaire un niveau de protection élevé », et « les raisons justifiant l’utilisation de la biométrie plutôt qu’une autre technologie », documents à l’appui.

En outre, les caractéristiques biométriques peuvent être traitées par le biais d’un algorithme rendant impossible leur reconstitution. Elles constituent alors un « gabarit » de données biométriques. La Cnil distingue ainsi trois types de gabarits à distinguer :

- sous maîtrise des personnes concernées (type 1) ;

- sous maîtrise partagée (type 2) ;

- non maîtrisés par les personnes concernées (type 3).

En l’absence de circonstances particulières, le responsable de traitement ne peut recourir qu’au gabarit de type 1. C’est seulement s’il s’avère que le type 1 « n’est pas adapté à l’architecture et au contexte d’exploitation du dispositif » que l’utilisation du type 2 est permise. Et il en va de même pour le type 3, qui ne peut constituer qu’un ultime recours.

Des données à ne pas conserver indéfiniment

Les données à caractère personnel pouvant être collectées sont les suivantes :

- données d’identification : identité (parmi lesquelles la caractéristique biométrique et les clés de chiffrement du gabarit), vie professionnelle, accès aux locaux (plages horaires autorisées par exemple), et accès aux outils de travail. Hors gabarits biométriques, ces données doivent être supprimées dans les six mois, au plus tard, suivant la date de retrait des habilitations ou le départ de la personne concernée ;

- données de journalisation des accès aux locaux et aux outils de travail. Ces données ne peuvent pas être conservées pendant plus de six mois en base active.

S’agissant des données biométriques, l’authentification biométrique basée sur des caractéristiques morphologiques est autorisée en milieu professionnel. En revanche, celle nécessitant un prélèvement biologique (de salive par exemple) est proscrite. Et le choix du type de biométrie doit être documenté et justifié par l’employeur. Les enregistrements bruts ne peuvent en aucun cas être conservés, et les gabarits obtenus à partir de ces enregistrements ne peuvent, quant à eux, être conservés que pendant la durée d’habilitation de la personne concernée.

Un dispositif à sécuriser

Afin de sécuriser le dispositif, toutes les personnes ne sont pas habilitées à traiter les données. Des profils d’habilitation doivent être prévus et revus annuellement. Les personnes concernées doivent, en outre, être individuellement informées et « cette information doit figurer dans une notice écrite remise par le responsable de traitement à chaque personne concernée préalablement à l’enrôlement des données biométriques de ce dernier ».

Le responsable de traitement doit également prendre « toutes précautions utiles, au regard de la nature des données et des risques que le traitement fait peser sur les personnes concernées et leurs droits, pour préserver la disponibilité, l’intégrité et la confidentialité des données traitées ». Qu’il s’agisse des mesures relatives aux données, à l’organisation, aux matériels, aux logiciels, ou aux canaux informatiques, la Cnil donne le détail de la conduite à tenir.

Elle précise également que même si l’employeur respecte l’ensemble des règles édictées dans cette délibération, cela ne l’exonère pas de l’obligation de procéder à une analyse d’impact avant de mettre en place le dispositif biométrique (v. l’actualité nº 17690 du 12 novembre 2018).


Délibération nº 2019-001 du 10 janvier 2019, JO 28 mars, NOR : CNIL1908954X

« Pour signaler un contenu indésirable ou illicite, nous vous invitons à nous contacter à l'adresse suivante : contact@wk-rh.fr. »