Le contrôle d’accès biométrique sur les lieux de travail

28 mars 2019

Les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et par le nouveau règlement européen sur la protection des données. Le 28 mars 2019, la CNIL a publié un règlement type qui précise les obligations des organismes souhaitant se doter de dispositifs biométriques à des fins de contrôle d’accès aux locaux, aux applications et aux outils de travail.

La biométrie : qu'est-ce que c'est ?

La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (empreintes digitales, iris, voix, visage ou même la démarche). A titre d’illustration, le contrôle d'accès par reconnaissance de l’empreinte digitale fonctionne de la manière suivante :

  • un échantillon biométrique de référence ou « gabarit » créé à partir de l’image de l’empreinte et ne retenant que les points distinctifs des sillons digitaux est enregistré ;
  • ce gabarit de référence est comparé au doigt posé sur le lecteur biométrique, lors du contrôle d’accès.

Des traitements de données sensibles

La biométrie est aujourd’hui intégrée à de nombreux actes de la vie quotidienne nécessitant une authentification des personnes. Dans un contexte professionnel, il peut s’agir du contrôle d’accès à des locaux, à des ordinateurs, ou à des applications. La biométrie est souvent présentée dans ces cas comme une alternative plus ergonomique et plus fiable que le port de badges encombrants et que l’on peut oublier.

Or, les données biométriques permettent de reconnaitre automatiquement les personnes et reposent sur une réalité biologique permanente, dont elles ne peuvent s’affranchir.

À la différence d’un badge ou d’un mot de passe, il n’est pas possible de se défaire d’une caractéristique biométrique ou de la modifier. Le mauvais usage ou le détournement d’une telle donnée peut alors avoir des conséquences graves pour les droits et libertés des personnes.

Le nouveau cadre règlementaire

L’entrée en application du RGPD le 25 mai 2018 a profondément affecté le cadre juridique existant.

La logique d’autorisation préalable et plus largement celle de formalités administratives a disparu, remplacée par une logique de responsabilisation des acteurs dite d’ « accountability ». Cette démarche de conformité dynamique oblige les organismes à s’assurer en interne de la licéité de leurs traitements et des conditions de mise en œuvre avant leur mise en œuvre, et veiller plus globalement au respect de l’ensemble des obligations en matière de protection des données.

Par ailleurs, la nature même des données biométriques a évolué : désormais qualifiées de « données sensibles » par le RGPD, leur traitement devient en principe interdit sauf à s’inscrire dans l’une des exceptions limitativement prévues par le texte.

Sensible à ces évolutions, le législateur français a confié à la Commission une mission nouvelle, qui est celle de concevoir et de publier en concertation avec des organismes représentatifs des acteurs concernés, des règlements type en matière notamment de traitement des données biométriques.

Le règlement type « biométrie sur les lieux de travail » s’inscrit dans la continuité des positions antérieures de la CNIL en la matière. Il précise aux organismes comment encadrer leurs traitements de données biométriques de contrôle d’accès aux locaux, aux applications ou aux outils de travail et revêt un caractère contraignant. Les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans le règlement type.


 

Comment procéder pour se mettre en conformité ?

Vérifier que le traitement de données biométriques est nécessaire. A titre d’exemple :  

  • si un système de badge est suffisant, la réponse est NON
  • si cela ne répond qu’à un besoin de confort, la réponse est NON
  • si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles, la réponse est NON

Réponse : NON => le traitement de données biométriques n’est pas nécessaire, une solution moins intrusive doit être privilégiée

Réponse : OUI => passer à l’étape 2

 

Privilégier la maîtrise du gabarit par la personne concernée :

  • Le responsable du dispositif biométrique devra privilégier le stockage des gabarits sous maîtrise exclusive de la personne concernée (stockage dit « de type 1 ») :
  • S’il n’est pas possible de recourir au support individuel, il devra associer au gabarit stocké en base un secret qui serait confié à la personne concernée et sans lequel le gabarit est illisible (stockage sous maîtrise partagée, dit « de type 2 » ;
  • Enfin, s’il est impossible, compte tenu du contexte, de recourir à l’un des deux types de stockage précités (1 ou 2), il pourra être fait recours à un dispositif de stockage sous maîtrise exclusive de l’employeur (stockage dit « de type 3 »).

Quel que soit le type de stockage des gabarits, l’employeur doit :

  • Effectuer une analyse d’impact relative à la protection des données ;
  • Préciser et justifier le choix des caractéristiques du dispositif, ainsi que la nécessité de recourir au traitement des données biométriques ;
  • Respecter l’ensemble des dispositions du règlement type ;
  • Le cas échéant, informer ou consulter les instances représentatives du personnel.

Document reference

Règlement type "Biométrie sur le lieu de travail"