logo WK-RH

Le portail dédié aux acteurs du social, des ressources humaines et du management.

Accueil
Actualités RH
La CNIL publie son premier règlement type biométrie au travail

xx Actualité sociale xx


CNIL

La CNIL publie son premier règlement type biométrie au travail

Avec l’entrée en application du RGPD le 25 mai 2018, le régime juridique des données biométriques a été renforcé. Les dispositifs de contrôle d’accès biométriques sur le lieu de travail doivent, pour être mis en place, être conformes à un règlement type élaboré par la CNIL. Document qu’elle publie suite à sa consultation publique.

04/04/2019 Semaine Sociale Lamy, n°1856

Entretien avec Ariane Mole, Avocat associé et Oriane Zubcevic, Avocat senior, cabinet Bird & Bird

 

Semaine sociale Lamy : Quelle est la finalité du règlement ?
Ariane Mole et Oriane Zubcevic : Les données biométriques sont désormais qualifiées de données « sensibles » par le RGPD. Leur traitement est donc en principe interdit sauf exception. Le RGPD laisse la possibilité aux États membres de prévoir ces exceptions. En droit français, les dispositifs d’authentification biométrique sur le lieu de travail ont donc été intégrés dans la loi Informatique et libertés mais ne sont permis qu’à condition d’être conformes à un règlement type élaboré par la CNIL (article 8 II 9° de la loi Informatique et libertés ; article 44-4° de la future loi Informatique et libertés issue de l’ordonnance n° 2018-1125 du 12 décembre 2018 à venir d’ici le 1er juin 2019). Le règlement type relatif à la biométrie sur les lieux de travail (Délib. n° 2019-001, 10 janv. 2019, JO 28 mars) vient donc compléter et préciser des obligations déjà existantes, ici découlant du RGPD et de la loi Informatique et libertés. Il est le premier acte juridique de ce type publié par la CNIL. L’idée est que tout employeur public ou privé souhaitant mettre en œuvre un dispositif biométrique pour contrôler l’accès aux locaux – limitativement identifiés par l’organisme comme devant faire l’objet d’une restriction de circulation –, applications et outils de travail – limitativement identifiés – de son personnel au sens large (employés, stagiaires, salariés intérimaires, bénévoles, personnes en service civique, agents des trois fonctions publiques, etc.) doit respecter strictement les dispositions du règlement type. Jusqu’ici nous n’avions qu’un projet (voir Semaine sociale Lamy n° 1837, p. 4). Nous avons désormais une version finale.

Quels sont les dispositifs biométriques autorisés sur le lieu de travail ?
A. M. et O. Z. : Contrairement au projet de règlement, le règlement type définit le périmètre des dispositifs biométriques autorisés sur le lieu de travail et précise les dispositifs interdits. L’employeur ne peut ainsi pas recourir à des prélèvements biologiques (salives, sang, etc.). Il doit rester sur des caractéristiques morphologiques de la personne concernée, comme par exemple l’iris, l’empreinte digitale, le réseau veineux de la main – par exemple dans le cas de lecteurs d’empreinte digitale –, etc. Ce choix de recourir à une identification biométrique doit être justifié et documenté par l’employeur. C’est l’application du principe d’accountability présent dans le RGPD. Cela passe en pratique par la question de savoir pourquoi recourir à une identification biométrique plutôt qu’à un simple badge ? Une fois cet arbitrage effectué, reste le choix du dispositif et la comparaison de la pertinence de l’utilisation d’une caractéristique biométrique plutôt qu’une autre, par exemple pourquoi choisir l’iris plutôt que le réseau veineux ? Cette comparaison doit apparaître dans l’analyse d’impact relative à la protection des données (AIPD) et dans la documentation que l’employeur doit tenir à jour. Pourquoi cette démarche ? Car ces dispositifs impliquent une identification de la personne sur la base d’une réalité biologique permanente. Cette identification étant, de fait, unique et certaine, le risque pour la personne concernée est élevé en matière de libertés dans le cas où d’autres personnes, que celles autorisées, auraient accès à ses données. Différents types de solutions en termes de sécurité sont donc proposés par la CNIL.

Justement, quelles sont les solutions de stockage préconisées par la CNIL ?
A. M. et O. Z. : La CNIL distingue trois types de modalités de détention du gabarit, c’est-à-dire de mémorisation et de stockage des données biométriques, en fonction du système souhaité et donne des indications sur le choix à opérer entre ces modalités. Le type 1 laisse le gabarit exclusivement à la main de la personne. Elle aura sur elle un support sur lequel le gabarit est stocké, et il n’existe pas de base de données. C’est le cas par exemple de la reconnaissance d’empreinte digitale avec conservation du gabarit sur un support individuel. La personne passe son badge contenant son gabarit pour pouvoir s’authentifier et place son doigt sur un support de reconnaissance d’empreinte digitale. Le dispositif va comparer son empreinte digitale au gabarit stocké sur le badge pour l’authentifier et lui accorder l’accès souhaité. Le type 2 prévoit un gabarit sous maîtrise partagée. Par exemple, la reconnaissance faciale avec stockage du gabarit en base. La personne place son visage devant le support de reconnaissance faciale et entre un code secret afin de pouvoir déchiffrer son gabarit qui est stocké dans une base détenue par l’employeur et qui est inutilisable si le code secret pour le déchiffrer n’est pas saisi. L’intervention du salarié concerné est donc nécessaire pour que le système accède au gabarit et puisse comparer les deux éléments après déchiffrement. Dans le troisième type de gabarit, type 3, la personne n’a plus de support de stockage et ne communique rien de secret pour déchiffrer son gabarit. Il existe juste une base de données chez l’employeur. Par exemple, la personne place son œil dans le dispositif d’identification biométrique. Le système compare l’iris de la personne avec le gabarit stocké en base sans communication par la personne concernée d’un code secret de déchiffrement. Par principe, le type 1 doit être privilégié, c’est-à-dire que le support de stockage des données biométriques devrait être sous la seule maîtrise des personnes concernées (badge, carte à puce).
À noter que l’article 1er du règlement type donne une définition plus précise du gabarit que celle proposée dans le projet de règlement.
Quant aux modalités et aux durées de conservation, l’article 8 du règlement type distingue selon qu’il s’agit des enregistrements bruts des gabarits, des données biométriques dérivées, des données de journalisation ou des données d’identification.

Y a-t-il d’autres points d’évolution entre le projet et le règlement type ?
A. M. et O. Z. : Autre évolution importante, le règlement type ne conserve pas dans les finalités d’utilisation des dispositifs biométriques l’exclusion du contrôle du temps de travail, ce qui implique que les employeurs sont désormais potentiellement en mesure d’utiliser des dispositifs biométriques pour contrôler le temps de travail des salariés, à condition de démontrer la pertinence de l’utilisation d’un tel dispositif pour cette finalité.

Quels types de données peuvent être collectés ?
A. M. et O. Z. : Contrairement au projet de règlement type, la version finale a intégré une classification des données traitées à l’article 4. Il s’agit des données d’identification renseignées par l’employeur ou ses préposés (nom, prénoms, photographie, enregistrement brut de la caractéristique biométrique et gabarit afférent, numéro d'authentification, coordonnées professionnelles, etc.) … Pour lire l'intégralité de L’INTERVIEW souscrivez à une formule abonnement

 

Propos recueillis par Sabine Izard

« Pour signaler un contenu indésirable ou illicite, nous vous invitons à nous contacter à l'adresse suivante : contact@wk-rh.fr. »