Après une consultation publique, la CNIL a, le 28 mars 2019, publié un règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail (Délibération n° 2019-001 du 10 janvier 2019).
Pour rappel, les données biométriques sont qualifiées par le RGPD de catégories particulières de données à caractère personnel et sont donc soumises à un régime particulier.
Les nouvelles dispositions de la loi « Informatique et libertés » du 6 janvier 1978 (articles 8, II., 9° et 11, I., 2°, b.) prévoient que des dispositifs de contrôle d’accès biométriques peuvent être mis en place par des employeurs à condition d’être conformes à un règlement type élaboré par la CNIL[1].
Ce règlement, publié le 28 mars 2019 et qui précise aux organismes comment encadrer leurs traitements de données biométriques, revêt un caractère contraignant. Il constitue le premier acte juridique de ce type élaboré par la CNIL.
En premier lieu, il oblige le responsable du traitement à vérifier que le traitement de données biométriques est nécessaire. A titre d’exemple, si un système de badge est suffisant, une solution moins intrusive que l’authentification biométrique devra être privilégiée. Il en est de même si la biométrie ne répond qu’à un besoin de confort, ou si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles.
La justification du recours au traitement de données biométriques doit être documentée, en indiquant le contexte spécifique rendant nécessaire un niveau de protection élevé, ainsi que la justification du recours à la biométrie plutôt qu’à une autre technologie et la justification du choix du type de biométrie (iris, empreinte digitale, réseau veineux de la main, etc.), notamment la raison d’utilisation d’une caractéristique biométrique plutôt qu’une autre.
Les données concernées par ce traitement sont :
- les données renseignées par l’employeur (données d’identifications, données relatives à la vie professionnelle, zones et plages horaires autorisées pour l’accès au locaux, matériels ou applicatifs concernés le cas échéant) ;
- les données générées par le dispositif (accès utilisés, horodatage des tentatives d’accès, matériel ou applicatif concerné, etc.)
- les données biométriques, à savoir les caractéristiques morphologiques ;
- les données d’enregistrement brut de la caractéristique biométrique ;
- les gabarits, qui sont les mesures mémorisées lors de l’enregistrement des caractéristiques morphologiques.
Ce règlement type indique également :
- les personnes habilitées à traiter les données ;
- les conditions de détention des gabarits ;
- les durées de conservation applicable à chaque catégorie de données :
- le temps du calcul du gabarit s’agissant des enregistrements bruts ;
- la durée d’habilitation de la personne concernée s’agissant des gabarits ;
- 6 mois en base active s’agissant des données de journalisation ;
- 6 mois à l’issue de la durée d’habilitation s’agissant des données d’identification.
- les mesures de sécurité.
Ce règlement précise enfin que l’employeur doit effectuer une analyse d’impact relative à la protection des données et informer ou consulter les instances représentatives du personnel.
[1]Il est à noter que la question de la biométrie était précédemment abordée par deux autorisations uniques du 30 juin 2016 (AU-52 et AU-53). Le règlement publié le 28 mars 2019 s’inscrit dans la continuité de ces autorisations uniques. La réelle nouveauté réside dans son caractère impératif.
