Biométrie sur les lieux de travail : publication d’un règlement type

A la suite d’une consultation publique, la CNIL (Commission Nationale de l’Informatique et des Libertés) adopte le règlement type « biométrie sur les lieux de travail ». Celui-ci précise les obligations des employeurs souhaitant recourir aux dispositifs biométriques pour contrôler les accès aux espaces, aux applications et aux outils de travail.

La biométrie est souvent présentée comme une alternative ergonomique et efficace à l’usage de mots de passe trop nombreux et trop longs à retenir. En effet, les données biométriques permettent à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s’affranchir. Pour autant, et précisément pour ces raisons, leur traitement génère des risques importants pour les droits et les libertés des personnes, dans l’hypothèse où ces données seraient compromises.

Le Règlement Européen sur la Protection des Données (RGPD) a consacré le caractère particulier des données biométriques en les qualifiant de « sensibles », au même titre que les données concernant la santé, les opinions politiques ou les convictions religieuses. Le traitement de ces données sensibles est en principe interdit, sauf certains cas limitativement énumérés.

Pour adapter le droit national à cette évolution des règles européennes, le législateur français a modifié la loi Informatique et Libertés. Les nouvelles dispositions prévoient que des dispositifs de contrôle d’accès biométriques peuvent être mis en place par des employeurs à condition d’être conformes à un règlement type élaboré par la CNIL.

Le règlement type « biométrie sur les lieux de travail » constitue le premier acte juridique de ce type élaboré par la Commission. Sa rédaction définitive a été précédée d’une consultation publique. Une trentaine de retours ont été adressés à la CNIL à cette occasion, et ont fait l’objet d’un examen attentif.

Ce cadre de référence s’inscrit dans la continuité des positions antérieures de la CNIL en matière de biométrie sur les lieux de travail. Il précise aux organismes comment encadrer leurs traitements de données biométriques et revêt un caractère contraignant. Les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans le règlement type.

Délibération n° 2019-001 du 10 janvier 2019 au format PDF reglement-type-controle-dacces-biometrique

Qu’est-ce que la biométrie ?

Au sens large, le mot « biométrie » peut s’entendre comme tout système permettant de « mesurer le vivant ».

Dans le contexte des systèmes d’information, il possède un sens plus spécifique : celui d’un procédé de vérification de l’identité et d’authentification d’un individu en utilisant des caractéristiques inhérentes à sa personne (ex : son visage, sa démarche, son empreinte digitale…).

Grâce à ce procédé, une personne est identifiée à partir de ce qu’elle est, par opposition aux systèmes d’identification basés sur ce qu’elle sait (par exemple, un mot de passe) ou ce qu’elle possède (par exemple, une pièce d’identité).

Potentiellement la plus robuste de ces méthodes d’authentification, cette solution est également celle qui présente les risques les plus importants en cas de violation des données.

Les données biométriques ne sont en effet pas des données comme les autres : elles permettent à tout moment l’identification de la personne sur la base d’une réalité biologique qui lui est propre, qui perdure dans le temps et dont elle ne peut s’affranchir.

 

Source : SITE DE LA CNIL –  ODPO RGPD CNIL Biométrie et travail

https://www.cnil.fr/fr/question-reponses-sur-le-reglement-type-biometrie

Nous contacter : contact@odpo.fr

2019-07-30T10:42:47+00:00lundi 22 juillet 2019|CNIL, DPO, Juridique, RGPD, Sécurité|