Biometrie-online.net | Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Voix - Réseau veineux - Signature dynamique - Frappe au clavier ...
Empreintes digitales - Forme de la main - Visage - Iris - Rétine - Réseau veineux - Analyse comportementale - Voix - Signature dynamique - Frappe au clavier - Démarche ...
Détails

La Cnil encadre l'usage de la biométrie sur les lieux de travail

CNIL

Pratique, l’utilisation des dispositifs biométriques comme mesures d’’authentification pour l’accès aux lieux de travail n’est pas sans risques pour les droits et libertés fondamentaux des personnes.

Avec l'application du RGPD, les données biométriques sont considérées comme sensibles. Pour autant, les solutions d'accès biométriques se développent au sein des entreprises. La Cnil a été chargée par la loi de proposer un règlement type sur ces dispositifs.

La Cnil vient de publier un règlement type lié à l'utilisation de la biométrie sur les lieux de travail.

La loi sur la protection des données personnelles a donné à la Commission la mission de publier, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, « des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ».

Le règlement type a un caractère contraignant, ce qui signifie que ses dispositions doivent être respectées par tout employeur qui souhaite mettre en place un dispositif de contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail. Les responsables de traitement ont obligation de « analyse d'impact relative à la protection des données ».

Les points clés du règlement

Finalités du traitement, Justification du recours à un traitement de données biométriques, Données personnelles collectées et traitées, Données biométriques, Personnes habilitées à traiter les données, Choix des modalités de détention du gabarit, Modalités et durées de conservation, Information des personnes, Sécurité des données, Analyse d’impact relative à la protection des données.

La biométrie est souvent utilisée pour l'accès à certains sites et à des applications. Elle est une alternative au traditionnel mot de passe. Par biométrie au sein des systèmes d'information, on entend le procédé de vérification de l'identité et d'authentification d'un individu en utilisant des caractéristiques inhérentes à sa personne (ex : son visage, sa démarche, son empreinte digitale,...). Les données générées sont considérées comme sensibles selon le RGPD.

Dans son règlement type, la Cnil intègre plusieurs dispositions. On retrouve un encadrement du recours à la biométrie à des fins de contrôle des accès aux locaux, au matériel ou encore aux applications de travail ; l'obligation l'organisme à justifier le recours à la biométrie, par des considérations spécifiques (contexte, enjeux, contraintes techniques et réglementaires particulières,...) particulièrement détaillées pour les types de biométrie présentant le plus de risques. Par ailleurs, il exige des responsables de traitement la réalisation d'une « analyse d'impact relative à la protection des données. Une foire aux questions pour approfondir les différentes dispositions du règlement type est disponible sur le site de la Cnil. Les concernés trouveront des éléments sur le type de stockage pertinent pour les données biométriques, le gabarit, l'obligation ou non du consentement des salariés, etc.

Le contexte professionnel

Le règlement entend appréhender la mise en place de ces dispositifs biométriques dans un contexte professionnel uniquement :

 

  • Le titre de la délibération se réfère « aux locaux, aux appareils, et aux applications informatiques sur les lieux de travail » ;
  • La définition de l’objet du règlement type (art. 1 al. 1) limite le champ d’application du texte « aux traitements nécessaires au contrôle par les employeurs (…) de l’accès aux lieux de travail, ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, agents (… ) » ;
  • L’article 2 al. 2 listant les finalités précise qu’il s’agit des « appareils et applications informatiques professionnels ».

Deux remarques à ce stade :

D’abord, le champ d’application du règlement n’est pas limité à la relation « employeur – salarié ou agent » : le contrôle d’accès aux locaux devrait à notre sens, par essence, concerner toute personne désireuse d’accéder aux locaux professionnels (dans le respect de la politique d’accès de l’employeur). Il est par ailleurs expressément prévu que le règlement type s’applique aux contrôles d’accès aux appareils et applications utilisés dans le cadre des missions confiées aux prestataires du responsable de traitement en particulier.

Ensuite le recours au dispositif biométrique n’est autorisé que pour contrôler l’accès à des lieux devant faire l’objet d’une « restriction de circulation » (art. 2) et justifiant un niveau de protection élevé (à justifier dans l’analyse d’impact qui devra être réalisée par le responsable du traitement préalablement à la mise en œuvre du dispositif). Il est permis d’imaginer qu’une approche par site professionnel ou par application/outil devra être privilégiée.

Les données biométriques

Les données biométriques sont des données sensibles au sens de l’article 5 du RGPD. Une définition en est donnée à l‘article 4-14) du RGPD.

Seule l’authentification biométrique reposant sur les caractéristiques morphologiques est autorisée en milieu professionnel dans le cadre des traitements mis en œuvre sur la base du règlement type. On peut prendre les empreintes, mesurer l’iris de l’œil mais il n’est jamais permis d’utiliser un prélèvement biologique sur les personnes concernées dans les traitements mis en œuvre dans le cadre du règlement type (article. 5).

Le règlement type opère trois qualifications des données à caractère personnel, ce qui risque d’en rendre l’application délicate. La typologie limitative des données à caractère personnel que peut comporter le dispositif de contrôle d’accès biométrique repose sur deux catégories de données biométriques (art. 4), la liste fermée des personnes habilitées à traiter les données repose sur trois catégories (art. 6), le détail des modalités et durées de conservation des données est finalement précisé en distinguant cette fois quatre catégories de données biométriques (art. 8) !

Le règlement type se réfère à une catégorie spécifique de donnée biométrique : « la donnée biométrique dérivée », dont la définition est donnée à l’article 1 et le régime de conservation spécifique prévu à l’article 8.
La donnée biométrique dérivée clé pour l’application du règlement type est le « gabarit », c’est à dire au sens de l’article 1 « le résultat du traitement de l’enregistrement brut de la caractéristique biométrique par un algorithme rendant impossible la reconstitution de celle-ci ».
Le règlement type opère une classification des gabarits : du moins risqué pour les libertés et droits fondamentaux de la personne concernée (type 1) au plus risqué (type 3), en fonction du degré de maîtrise conservé sur le support de stockage durable du gabarit contenant les données biométriques de la personne. Sauf, pour la personne responsable de traitement, à justifier de « circonstances particulières », c’est le recours au gabarit de type 1 qui est imposé par le texte (art. 7 al. 2), toute utilisation d’un gabarit plus risqué devant être justifiée et documentée.

La notice écrite d’information individuelle de la personne concernée

Le règlement type complète le RGPD et la loi du 6 janvier 1978, il ne se substitue pas à ces textes, dont les exigences en matière d’information des personnes concernées au moment de la collecte des données restent applicables.

Le règlement type ajoute une modalité d’information spécifique de la personne concernée : en application de l’article 9 al. 2 l’information individuelle obligatoire de la personne dont les données sont collectées/traitées doit figurer dans une « notice écrite » remise par le responsable de traitement à chaque personne concernée préalablement à l’enrôlement des données biométriques de cette dernière.

Un cahier des charges très complet des mesures de sécurité minimales requises par la mise en œuvre du traitement

L’article 10 établit un cahier des charges très complet des « mesures utiles » que le responsable de traitement doit mettre en œuvre pour préserver la sécurité des données (mesures spécifiquement relatives aux données, à l’organisation, aux matériels, aux logiciels et aux canaux informatiques). Ces mesures constituent un minimum à mettre impérativement en œuvre mais le responsable de traitement peut leur substituer d’autres mesures « dont il démontre l’équivalence » (Art. 10 al. 2), a priori dans l’AIPD.

Le contenu de l’analyse d’impact précisé

Le règlement type insiste sur la nécessité de documenter l’ensemble des choix et des décisions effectués par le responsable de traitement préalablement à la mise en œuvre de ces dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique sur les lieux de travail (Art. 3 al. 2 in fine, art. 5 al. 2, art. 7 al. 5 et art. 11).

En plus de toute information requise au titre de l’article 35 du RGPD, l’analyse d’impact, (dont le caractère obligatoire pour ce type de traitement est confirmé par l’article 11 al. 2 du règlement type) devra comprendre :

 

  • le détail du contexte spécifique rendant nécessaire une restriction d’accès et un niveau de protection élevé des locaux, outils et applications sur les lieux de travail (qui devront être « limitativement énumérés » selon l’article 2) ;
  • une démonstration et un exposé des raisons justifiant « la nécessité de recourir à un traitement de données biométriques en expliquant pourquoi recours à d’autres dispositifs d’identification ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé » (Art. 3 al. 1) ;
  • la justification du choix du gabarit biométrique (type 2 plutôt que 1 ou 3 plutôt que 2) : la décision la décision de recourir aux gabarits de type 2 ou 3 doit être documentée de manière détaillée et le choix doit être « justifié » (Art. 7 in fine) et faire l’objet « d’une documentation particulièrement circonstanciée » (art.11 al. 4), particulièrement en ce qui concerne le choix de gabarit de type 3 (non maîtrisé par les personnes concernées) ;
  • une illustration des risques résiduels et une estimation en termes de gravité et de vraisemblance (art. 11 al. 5).

L’application du règlement type requiert la mise à jour des analyses d’impact déjà réalisées et la mise en œuvre des mesures de sécurité et d’information des personnes concernées notamment.

 

Sources : CNILhttps://www.village-justice.com