Lu pour vous dans PSM MAGAZINE

Biométrie. Règlement de la Cnil pour son utilisation au travail

Lire l’intégralité de la lettre ici. Abonnement possible en ligne.


La Cnil vient de publier un texte assez contraignant sur l’utilisation de la biométrie au travail. Il définit de manière précise les obligations auxquelles devront se plier les employeurs qui veulent recourir à des systèmes biométriques dans le cadre d’une installation de contrôle d’accès.

Ainsi, le règlement type « Biométrie sur les lieux de travail » de la Cnil s’impose à toutes les employeurs et organisations qui souhaitent recourir à des dispositifs de contrôle d’accès biométriques et qui seront, de ce fait, amenés à traiter des données biométriques.

Plusieurs dispositions

Le texte de la Cnil encadre donc l’utilisation de la biométrie pour l’accès aux locaux, aux matériels at autres applications de travail. Il contraint, par ailleurs, l’organisme à justifier le recours à la biométrie, par des considérations spécifiques. D’autre part, les responsables de traitement ont obligation de « analyse d’impact relative à la protection des données ».

Bon à savoir

  • Article 2 : Finalités du traitement

Le recours aux dispositifs biométriques n’est autorisé, dans le champ du présent règlement type, que pour les finalités suivantes :

– le contrôle d’accès aux locaux limitativement identifiés par l’organisme comme devant faire l’objet d’une restriction de circulation ;

– le contrôle d’accès aux appareils et applications informatiques professionnels limitativement identifiés de l’organisme.

  • Article 3 : Justification du recours à un traitement de données biométriques

Le responsable de traitement doit démontrer la nécessité de recourir à un traitement de données biométriques, en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges, mots de passe, etc.) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé. Cette justification doit :

– détailler le contexte spécifique rendant nécessaire un niveau de protection élevé ;

– détailler les raisons justifiant l’utilisation de la biométrie plutôt qu’une autre technologie ;

– être documentée par le responsable du traitement.

  • Article 4 : Données personnelles collectées et traitées

Dans le cadre du présent règlement type, le dispositif de contrôle d’accès biométrique ne peut comporter que les données à caractère personnel suivantes :

– Données renseignées par l’employeur ou ses préposés (données d’identification) ;

– Données générées par le dispositif (données de journalisation).

  • Article 5 : Données biométriques

Est autorisée, en milieu professionnel, l’authentification biométrique basée sur des caractéristiques morphologiques des personnes concernées. L’authentification biométrique nécessitant un prélèvement biologique (salive, sang, etc.) est proscrite dans le champ du présent règlement. Le choix du ou des types de biométrie (iris, empreinte digitale, réseau veineux de la main, etc.) doit être justifié et documenté par l’employeur, notamment la raison d’utilisation d’une caractéristique biométrique plutôt qu’une autre.

  • Article 6 : Personnes habilitées à traiter les données

Des profils d’habilitation doivent être prévus afin de gérer les accès aux données en tant que de besoin. Les personnes habilitées ne peuvent accéder aux données que dans les limites de leurs attributions. Une revue annuelle des habilitations doit être opérée afin d’assurer que les droits accordés restent bien cohérents avec les personnes habilitées et leurs fonctions.