Biométrie sur le lieu de travail : la CNIL lance une consultation publique sur le futur règlement type
Dans l'environnement professionnel

Le , par Stéphane le calme, Chroniqueur Actualités
Le Règlement général sur la protection des données (RGPD) applicable depuis le 25 mai dernier, modifie le régime juridique des traitements portant sur des données biométriques.

La mise en place de tels traitements est désormais en principe interdite, sauf certaines exceptions. L’une de ces exceptions concerne les traitements « nécessaires aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail (…) dans la mesure où ce traitement est autorisé par (…) le droit d'un État membre ».

Pour adapter le droit national à cette évolution des règles européennes, le législateur français a modifié la loi informatique et libertés. Les nouvelles dispositions prévoient que des dispositifs de contrôle d'accès biométriques peuvent être mis en place par des employeurs à condition d'être conformes à un règlement type élaboré par la CNIL.

Cette même loi précise que le règlement type est élaboré "en concertation avec les organismes publics et privés représentatifs des acteurs concernés".

Afin d’inclure le plus grand nombre des parties prenantes, la CNIL a décidé d'engager la présente consultation publique sur le projet du règlement type "biométrie travail".

La période de consultations se prolongera jusqu'au 1er octobre 2018. Le projet modifié, tenant compte des observations recueillies, sera ensuite soumis à l’examen de la séance plénière de la Commission.

Le règlement type n’a pas vocation à se substituer aux obligations générales découlant du RGPD et de la Loi « Informatique et Libertés » modifiée, mais à les compléter ou à préciser certaines d’entre elles. Les organismes mettant en œuvre de tels traitements devront ainsi respecter l’ensemble des autres exigences légales et réglementaires, relatives aux principes du traitement de données, aux droits des personnes ou aux transferts internationaux des données. En particulier, ils devront s’assurer que les traitements de données biométriques concernés sont fondés sur une base légale telle que l’exécution d’une obligation légale ou la poursuite d’un intérêt légitime, à l’exclusion notamment du consentement de la personne concernée.


Finalités du traitement

Le recours aux dispositifs biométriques n’est autorisé, dans le champ du présent règlement-type, que pour les finalités suivantes :
  • Le contrôle des accès à l'entrée et dans les locaux limitativement identifiés par l'organisme comme devant faire l'objet d'une restriction de circulation, à l'exclusion de tout contrôle des horaires des employés ;
  • Le contrôle des accès à des appareils et applications informatiques professionnels limitativement identifiés de l'organisme, à l'exclusion de tout contrôle du temps de travail de l'utilisateur.

Justification du recours à un traitement biométrique

Le responsable de traitement doit démontrer la stricte nécessité de recourir à un traitement de données biométriques en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges, mots de passe, etc.) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé. Cette justification doit :
  • détailler le contexte spécifique rendant nécessaire un niveau de protection élevé. Par exemple, manipulation des machines ou produits dangereux, accès aux fonds ou aux objets de valeur, matériel ou produits faisant l’objet d’une réglementation spécifique – précurseurs des substances psychotropes, produits chimiques pouvant être utilisés pour la fabrication d’armes ;
  • être documentée par le responsable du traitement.

Données personnelles collectées et traitées

Les traitements faisant objet du présent règlement peuvent porter sur les données à caractère personnel suivantes :
  • l'identité : nom, prénom, photographie et gabarit de la caractéristique biométrique, clé biométrique résultat du traitement des mesures par un algorithme (et non une image ou une photographie de cette caractéristique), numéro d'authentification ou numéro de support individuel, coordonnées ;
  • la vie professionnelle : numéro de matricule interne, corps ou service d'appartenance, grade, nom de l'employeur ;
  • l’accès aux locaux : porte utilisée, zones et plage horaire d'accès autorisées, date et heure d'entrée et de sortie ;
  • l’accès aux outils de travail : matériel ou applicatifs concernés, modalités d’accès autorisées, date et heure de début et de fin d’utilisation.

Constituent un « gabarit », au sens du présent règlement, les mesures qui sont mémorisées lors de l'enregistrement des caractéristiques morphologiques (empreinte digitale, forme de la main, iris, etc.), biologiques (ADN, urine, sang, etc.) ou comportementales (démarche, dynamique de tracé de signature, etc.) de la personne concernée, que ce soit sous forme brute (image photographique) ou dérivée.


Destinataires des données traitées

Seules peuvent avoir accès aux données visées à l’article 5 les personnes qui y sont limitativement habilitées en raison de leurs fonctions.

Dans les limites de leurs attributions respectives ces personnes ne peuvent accéder aux gabarits que de façon temporaire et pour les stricts besoins de l'enrôlement de la personne concernée, de la suppression du gabarit ou de la maintenance du dispositif.

L’architecture du dispositif biométrique ne doit pas permettre aux destinataires d'accéder directement aux gabarits enregistrés, de les modifier ou de les copier vers un autre support.

Modalités et durée de conservation

Les caractéristiques biométriques ne peuvent être conservées que sous la forme d'un gabarit chiffré ne permettant pas de recalculer la donnée biométrique d'origine. Le gabarit de la donnée biométrique associé ne peut être conservé que le temps de l'habilitation de la personne concernée et doit être supprimé à son départ ou au moment de retrait de son habilitation. Les catégories de données relatives à l'identité, à la vie professionnelle et aux accès aux locaux, aux appareils et applications informatiques peuvent être conservées au maximum trois mois après le départ de la personne concernée ou le retrait de son habilitation. Les éléments relatifs aux accès aux locaux, aux appareils et applications informatiques professionnels ne doivent pas être conservés plus de trois mois après leur enregistrement.

Information des personnes

L’information obligatoire prévue par les articles 12 et suivants du RGPD doit figurer dans une notice écrite remise par le responsable de traitement à chaque collaborateur préalablement à l’enrôlement des données biométriques de ce dernier.

Source : règlement type biométrie de la CNIL en PJ (au format PDF)

Et vous ?

Que pensez-vous de ces propositions ?

Voir aussi :

La CNIL met en demeure les entreprises Teemo et Fidzup, car leurs applis de tracking publicitaire pistent illégalement les utilisateurs
RGPD : la Quadrature du Net et 12 000 internautes déposent des plaintes à la CNIL, pour attaquer les GAFAM en recours collectif
La CNIL a présenté son rapport d'activité sur l'année 2017, la Commission note une augmentation de 59 % de son audience
Compteur Linky : La CNIL juge que le consentement des clients n'est pas recueilli dans des conditions conformes
Biométrie : le cœur humain comme « mot de passe » pour renforcer la sécurité des systèmes


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de marsupial marsupial - Membre émérite https://www.developpez.com
le 06/09/2018 à 17:59
Je n'aime pas cela du tout. Il a fallu que quelqu'un en ait besoin pour en arriver à un tel texte. La Défense par exemple. Pourvu que cela ne se démocratise pas dans la sphère privée et que cela reste des cas exceptionnels.
Avatar de kolodz kolodz - Modérateur https://www.developpez.com
le 06/09/2018 à 18:12
Citation Envoyé par Article 3 Justification du recours à un traitement de données biométriques

Le responsable de traitement doit démontrer la stricte nécessité de recourir à un traitement de données biométriques en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges, mots de passe, etc.) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé.
Cette justification doit :
- détailler le contexte spécifique rendant nécessaire un niveau de protection élevé. (...)
- être documentée par le responsable du traitement.
Citation Envoyé par Article 7 Modalités et durées de conservation
Le gabarit de la donnée biométrique associé ne peut être conservé que le temps de l'habilitation de la personne concernée et doit être supprimé à son départ ou au moment de retrait de son habilitation.
D'après ce que je vois, il y a déjà un certains nombre de contraintes fortes sur le sujet.
En espérant que celles-ci restent bien en place jusqu'à la fin du projet.

D'après ce que je comprends actuellement, il n'y a pas de cadre légal spécifique sur ce domaine.

Cordialement,
Patrick Kolodziejczyk.

 
Contacter le responsable de la rubrique Accueil