Comment utiliser la biométrie sur les lieux de travail ?

Délibération Cnil n°2019-001 du 10 janvier 2019 relative au contrôle biométrique sur les lieux de travail.

Depuis la loi du 20 juin 2018, la Cnil peut prescrire des mesures techniques et organisationnelles supplémentaires en complément des obligations générales découlant du RGPD et de la Loi Informatique et Libertés.
La présente délibération s’inscrit dans cette nouvelle réglementation, il s’agit donc ici d’un règlement type ayant un caractère contraignant.

  • Les dispositifs biométriques ne peuvent être mis en œuvre que pour des finalités précises (article 2)

La Cnil énonce clairement que le recours aux dispositifs biométriques n’est autorisé que dans deux finalités spécifiques :

    • Pour le contrôle d’accès aux locaux,
    • Pour le contrôle d’accès aux appareils et applications informatiques professionnels.

→ Ces locaux et appareils devront être limitativement identifiés par l’organisme.

  • Le recours à la biométrie doit être nécessaire et faire l’objet d’une justification(article 3)

Le responsable de traitement souhaitant recourir à la biométrie doit démontrer et indiquer les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges…) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé.

Autrement dit, le recours à la biométrie doit être absolument justifié.

  • La collecte et le traitement des données biométriques sont strictement encadrés (article 4)

Seules certaines données d’identification et de journalisation pourront être collectées.

  • Une information préalable et individuelle est obligatoire à l’égard des personnes concernées par le système biométrique(article 9)

Cette information doit figurer dans une notice écrite remise à chaque personne concernée.

  • L’employeur doit obligatoirement veiller à la sécurité des données (article 10)

L’employeur devra être particulièrement vigilant auprès des prestataires afin que ces derniers proposent une technologie conforme à cette délibération de la Cnil.

Une liste de mesures minimums sont ainsi énumérées dans cet article. A titre d’exemple, il faudra prévoir :

  • Le cloisonnement des données,
  • Le chiffrement des données,
  • Association d’un code d’intégrité aux données,
  • Mise en place de mesures permettant de détecter les fraudes (ex : détection de faux doigts),
  • Interdiction de tout accès externe…

→ La liste ici présente n’est toutefois pas exhaustive et il convient de se reporter à l’article 10 de la Délibération pour en prendre connaissance dans son intégralité.

  • Seules des personnes habilitées peuvent avoir accès aux données biométriques(article 6)

Des profils d’habilitation doivent être prévus afin de gérer les accès aux données en tant que de besoin.

  • La durée de conservation des données est limitée (article 8)

La Cnil prévoit différentes durées de conservation en fonction des données visées. L’employeur devra être particulièrement vigilant et respecter ces durées spécifiques.

  • L’employeur est tenu de recourir à une analyse d’impact préalable(article 11)

Il s’agit d’une obligation préalable à la mise en œuvre d’un traitement biométrique.

  • Il est interdit à l’employeur de faire reposer l’authentification biométrique sur des données issues de prélèvements(article 5)

Toute authentification nécessitant un prélèvement biologique est proscrite.

Partager cet article

Tapez votre recherche et appuyez sur la loupe

Shopping Cart