#RGPD : Données biométriques et obligations de l’employeur

#RGPD : Données biométriques et obligations de l’employeur

Par Alric HURSTEL et Alexandre LOBRY

Le développement des technologies d’identification biométrique, comme la reconnaissance faciale et la lecture d’empreintes digitales, constitue une formidable opportunité pour les entreprises, leur permettant de bénéficier de moyens de contrôle (des accès, des matériels) plus fiables et moins soumis aux aléas que peuvent l’être des moyens humains ou les badges électroniques.

62 % des entreprises utilisent d’ores et déjà des technologies d’authentification biométrique ; 24% de plus prévoient de l’utiliser au cours des deux prochaines années[1]

 

Ces technologies de pointe ont vocation à concilier sécurité et confort. Dans le cadre du contrôle d'accès physique à une centrale nucléaire, l’objectif est par exemple de limiter au maximum le risque d’intrusion d’individus non habilités.

Outre l’accès à l’entreprise, la biométrie se démocratise de plus en plus en matière de télétravail par la notion de « monitoring électronique »[2].

Employeurs : comment traiter en toute licéité les données issues des technologies de biométrie ?

Les données biométriques sont une catégorie de données considérées comme sensibles. En conséquence, tout traitement s’y rapportant doit faire l’objet d’une étude d’impact préalablement à sa mise en œuvre.

Pour faciliter le déploiement et la démocratisation de ces technologies, la CNIL a publié un règlement type « biométrie sur les lieux de travail », en concertation avec les organismes publics et privés représentatifs des acteurs concernés[3]

donnee biometrique en entreprise

1. Un règlement dédié au traitement des données biométriques

La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (empreintes digitales, iris, voix, visage ou même démarche).

A titre d’illustration, le contrôle d'accès par reconnaissance de l’empreinte digitale fonctionne de la manière suivante :

  1. Un échantillon biométrique de référence, ou « gabarit », créé à partir de l’image de l’empreinte et ne retenant que les points distinctifs des sillons digitaux, est enregistré ;
  2. Ce gabarit de référence est comparé au doigt posé sur le lecteur biométrique, lors du contrôle d’accès.

Leur traitement peut être mis en place par un système composé :

  • d’éléments physiques ou matériels (lecteur d’empreinte digitale, système de badges) ;
  • d’éléments logiques ou « logiciels » (interfaces d’administration et de gestion du dispositif biométrique).

2. Le champ d’application du règlement 

Ce texte concerne toute utilisation de données biométriques imposée par un employeur de droit public ou privé à son personnel (employés, stagiaires, salariés intérimaires, bénévoles, personnes en service civique, etc.) pour contrôler les accès aux locaux, aux applications et aux outils professionnels.

Ce règlement ne concerne pas les traitements de données biométriques poursuivant une finalité autre que celles énoncées ci-dessous.

Sur ce point, la CNIL n’écarte pas la possibilité d’édicter un autre règlement pour encadrer d’autres utilisations.

 

3. Les principales dispositions du règlement type 

Ce règlement met à la charge de l’organisme plusieurs obligations. Il doit ainsi :

  • justifier le recours à la biométrie par des considérations spécifiques (contexte, enjeux, contraintes techniques et réglementaires particulières, etc.) particulièrement détaillées pour les types de biométrie présentant le plus de risques ;
  • respecter un cahier des charges rigoureux en ce qui concerne les mesures de sécurité organisationnelles et techniques ;
  • justifier les choix effectués lors de la mise en place des dispositifs biométriques par de la documentation;
  • réaliser une analyse d’impact relative à la protection des données au regard du caractère sensible des données. Cette étude d’impact permet également à l’organisme de pouvoir justifier de sa conformité dans le respect du principe d’accountability.

  5 RAISONS DE MENER UNE ÉTUDE D'IMPACT  

4. Un règlement dans la continuité du RGPD et de la LIL

Le règlement type ne se substitue aucunement à la réglementation « Informatique et libertés » : il la complète.

 

Et pour cause, consciente que les données biométriques constituent des données sensibles au sens du RGPD[4], la CNIL impose notamment une modalité d’information spécifique de la personne concernée :

Une information individuelle obligatoire de la personne dont les données sont collectées et/ou traitées doit ainsi figurer dans une « notice écrite » remise par le responsable de traitement à chaque personne concernée préalablement à l’enrôlement des données biométriques de cette dernière.

 

Vous êtes employeur et vous souhaitez mettre en place un système de biométrie ? Vous vous interrogez sur vos obligations en la matière ? Le traitement des données personnelles et la mise en conformité constituent désormais des objectifs essentiels au regard du présent règlement et de la législation française, N’hésitez pas à nous consulter.

Le Cabinet HAAS Avocats accompagne depuis plus de 20 ans ses clients dans leur transition digitale ainsi que dans la mise en conformité de leurs jeux de données.

 donnees biometriques

 

[1] https://www.bitdefender.fr/blog/business/de-plus-en-plus-dentreprises-adoptent-la-biometrie-mais-il-reste-encore-des-obstacles-franchir/

[2] https://www.latribune.fr/opinions/tribunes/faut-il-controler-les-teletravailleurs-789203.html

[3] https://www.cnil.fr/fr/le-controle-dacces-biometrique-sur-les-lieux-de-travail

[4] https://www.cnil.fr/fr/biometrie-disposition-de-particuliers-quels-sont-les-principes-respecter

Alric Hürstel

Auteur Alric Hürstel

Suivez-nous sur Linkedin

Catégories

Derniers tweets

Besoin d'une réponse
à vos questions juridiques ?

Demande de devis

Consultation téléphonique