Exploitation de données biométriques dans l’entreprise

Respect du RGPD

En application de l’article 4 du Règlement Européen sur la Protection des Données (RGPD), « toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement » est une donnée personnelle.

De plus, lorsqu’un traitement de données a pour but d’identifier les personnes en fonction de leurs caractéristiques propres, il constitue un traitement de données biométriques, désormais qualifiées de « données sensibles » par le RGPD. Il est donc en principe interdit, sauf exceptions.

Cependant la CNIL, face aux souhaits de certains employeurs, a adopté, après consultation publique, un règlement type « biométrie sur les lieux de travail ». Ce document permet, à certaines conditions, de mettre en place un traitement de données biométriques de contrôle d’accès aux espaces, aux applications et aux outils de travail, tout en respectant les indications figurant dans le règlement européen, qui revêt un caractère contraignant.

La biométrie est souvent présentée comme une alternative ergonomique et efficace à l’usage de mots de passe trop nombreux et trop longs à retenir. En effet, les données biométriques permettent à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s’affranchir. Pour autant, leur traitement génère des risques importants pour les droits et les libertés de personnes, dans l’hypothèse où ces données sont compromises.

Les données biométriques, données sensibles au même titre que celles concernant la santé, les opinions politiques ou les convictions religieuses voient leur traitement admis uniquement dans certains cas, limitativement énumérés. Le législateur français a donc modifié dans ce sens la loi Informatique et Libertés en édictant que des dispositifs de contrôle d’accès biométriques pouvaient être mis en œuvre par des employeurs à condition d’être conformes au règlement type élaboré par la CNIL, précisant de façon contraignante, les modalités d’encadrement de ces traitements de données.

Ce règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail (Délibération n° 2019-001 du 10 janvier 2019) est rédigé comme suit :

Article premier : Objet et champ d’application du présent règlement

Le règlement a pour objet de fixer des exigences spécifiques applicables au traitement de données biométriques nécessaires au contrôle par les employeurs publics ou privés de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires.

Les données biométriques s’entendent comme les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.

Article 2 : Finalités du traitement

  • Contrôle d’accès aux locaux limitativement identifiés comme devant faire l’objet d’une restriction de circulation ;
  • Contrôle d’accès aux appareil et applications informatiques professionnels identifiés.

Article 3 : Justification du recours à un traitement de données biométriques

Cette justification, à la charge du responsable de traitement, doit :

  • détailler le contexte spécifique rendant nécessaire un niveau de protection élevé ;
  • détailler les raisons justifiant l’utilisation de la biométrie plutôt qu’une autre technologie ;
  • être documentée.

Article 4 : Données personnelles collectées et traitées

Le dispositif de contrôle d’accès biométrique ne peut comporter que les données à caractère personnel suivantes :

  • données renseignées par l’employeur ou ses préposés (identité, vie professionnelle, accès aux locaux, accès aux outils de travail) ;
  • données générées par le dispositif (journalisation des accès aux locaux, des accès aux outil de travail).

Article 5 : Données biométriques

L’authentification biométrique est basée sur des caractéristiques morphologiques des personnes concernées. Cependant, celle qui nécessite un prélèvement biologique (salive, sang…) est proscrite dans le champ du présent règlement. Le choix du ou des types de biométrie (iris, empreinte digitale…) doit être justifié et documenté par l’employeur.

Article 6 : Personnes habilitées à traiter les données

Il est nécessaire de prévoir des profils d’habilitation afin de gérer les accès aux données, et assurer que les droits accordés restent bien cohérents avec les personnes habilitées et leurs fonctions.

Article 7 : Choix des modalités de détention du gabarit

Le présent règlement distingue 3 types de détention de gabarits biométriques, selon le degré de maîtrise exercé par les personnes concernées sur le support de conservation (type 1, type 2, type 3).

Article 8 : Modalités et durées de conservation

(Enregistrements bruts, données biométriques dérivées, données de journalisation, données d’identification).

Article 9 : Information des personnes

Cette information doit figurer dans une notice écrite remise par le responsable de traitement à chaque personne concernée préalablement à l’enrôlement des données biométriques de ce dernier.

Article 10 : Sécurité des données

Le responsable du traitement prend toutes les précautions utiles, au regard de la nature des données et des risques encourus par les personnes concernées, pour préserver la disponibilité, l’intégrité et la confidentialité des données traitées ; à savoir :

  • des mesures relatives aux données (cloisonnement et chiffrage des données, code d’intégrité, détection de fraude, contrôle d’accès, suppression et destruction des données) ;
  • des mesures relatives à l’organisation (responsabilisation, solution de secours, tests, actions à entreprendre, politique de gestion des droits et des accès, formation, procédure de secours).
  • des mesures relatives aux matériels (sécurité, traçabilité) ;
  • des mesures relatives aux logiciels (logiciel spécifique, sécurité, traçabilité) ;
  • des mesures relatives aux canaux informatiques (sécurité).

Le responsable de traitement doit contrôler, au moins tous les ans, la bonne mise en œuvre de ces mesures et effectuer une veille lui permettant d’agir dans un délai raisonnable en cas de modification par la CNIL de cette liste de mesures.

Article 11 : Analyse d’impact relative à la protection des données

Le responsable devra à la fois documenter et tenir à la disposition de la CNIL les justifications prévues par le présent règlement et procéder à une évaluation des risques sur les droits et libertés des personnes en vue de les identifier et, le cas échéant, de les traiter. Il doit aussi illustrer les risques résiduels et les estimer en termes de gravité et de vraisemblance. Enfin, il doit mettre à jour, au moins tous les 3 ans, cette évaluation des risques ainsi que les mesures de sécurité supplémentaires qui en découleraient.

Une foire aux questions accompagne la publication du règlement type afin d’en faciliter la lecture et la compréhension.

Pour en savoir plus

Information

Editor :
Christine RUBETTI
CONSULTANT COMMERCE

Date of the publication :
on 7/19/19 at 4:42 PM