Que dit la loi sur le contrôle d’accès biométrique sur le lieu de travail ?

Avec le passage au Règlement européen sur la protection des données (RGPD), la réglementation de la Commission nationale de l'informatique et des libertés (CNIL) sur les dispositifs biométriques a changé. Comment s'y conformer ?

Temps de lecture : 5 minutes (en moyenne)

Contrôle d'accès biométrique

Afin de se mettre en conformité avec le Règlement européen sur la protection des données (RGPD), la CNIL a publié, fin mars 2019, un règlement type précisant les obligations des organismes désireux d'avoir recours à un dispositif biométrique.

Qu'il s'agisse de protéger les accès de locaux, d'appareils, d'outils de travail et/ou d'applications, les données biométriques sont utilisées à des fins d'identification. Elles donnent en effet la possibilité d'identifier une personne à partir d'éléments biologiques uniques dont l'individu ne peut se détacher de par leur caractère permanent.

Ce sont ces attributs qui rendent les données biométriques si sensibles. Leur traitement engendre des risques pour les droits et libertés des personnes.

Avant le RGPD, la législation applicable aux données biométriques fonctionnait selon une logique d'autorisation avalisée par la signature préalable de documents administratifs.

Cette logique a depuis été abandonnée et la loi Informatique et Libertés a été modifiée au profit d'une démarche de conformité active, afin de rendre les acteurs responsables de leurs données, avant leur utilisation.

Il s'agit donc, pour les organismes, de vérifier en trois étapes que la mise en place d'un dispositif biométrique et le traitement des données afférent soient conformes au règlement type de la CNIL.

La nécessité d'un dispositif biométrique 

La nécessité d'avoir recours à un dispositif de contrôle d’accès biométrique se doit d'être justifiée.

Si les habituels systèmes de badges ou de mots de passe suffisent à protéger les locaux, appareils ou applications dont l'accès ou l'utilisation doit être limitée, il ne saura être question de mettre en œuvre un dispositif biométrique.

Si les dispositifs ordinaires de sécurité peuvent être améliorés mais que ces mêmes locaux, applications ou appareils ne revêtent pas un caractère d'une sensibilité particulière, la mise en place d'un dispositif biométrique sera jugée accessoire.

La mise en place d'une telle solution de sécurité ne pourrait par conséquent être justifiée au regard du règlement type.

De manière générale, il s'agit de privilégier la solution la moins intrusive au regard du rapport bénéfices/risques.

La maîtrise du gabarit en question

Le gabarit biométrique doit, idéalement, être maîtrisé par la personne qu'il concerne.

Le stockage de ses propres données devrait être maîtrisé exclusivement par la personne concernée (stockage « de type 1 ») sur un support individuel.

Si une telle disposition n'est pas possible, un stockage « de maîtrise partagée » (« de type 2 ») devra être privilégié. Il s'agit d'associer au gabarit un secret, communiqué à la personne concernée, sans lequel le gabarit est indéchiffrable.

Enfin, et en derniers recours, si aucun de ces deux types de stockage n'est envisageable, on pourra utiliser un stockage « de type 3 » : sous maîtrise exclusive de l'employeur.

Mesurer, motiver, documenter les choix

Quels que soient le dispositif et le type de stockage retenus, l'employeur doit réaliser une étude d'impact concernant la protection des données biométriques.

Outre le respect des dispositions du règlement type, il doit également définir et légitimer le choix du dispositif et de ses spécificités. Enfin, il est tenu de consulter et/ou d'informer les instances représentatives du personnel.

Faire appel à un spécialiste de la sécurité privée donnera à un employeur la possibilité d'éviter les écueils liés à un projet de contrôle d’accès biométrique et de présenter un dispositif en totale adéquation avec la réglementation.

Sources : Securitas, cnil.fr

Qu'est-ce qu'un gabarit biométrique?

Un "gabarit" biométrique désigne les mesures qui sont mémorisées lors de l'enregistrement des caractéristiques morphologiques (empreinte digitale, forme de la main, iris...), biologiques (ADN,urine, sang...) ou comportementales (démarche, dynamique de tracé de signature...) de la personne concernée.

  • On dit que les personnes maîtrisent leur gabarit lorsqu'on leur confie le support de stockage de ces mesures ou lorsque ce support est conservé dans les serveurs du responsable du système sous une forme le rendant inexploitable en l'absence d'intervention de la personne concernée.
  • Au contraire, on dit que les personnes ne maîtrisent pas leur gabarit lorsque le support de stockage de ces mesures est conservé dans les serveurs du responsable du système sous une forme exploitable même en l'absence d'intervention de la personne concernée.

Source : Commission nationale de l'informatique et des libertés (CNIL)