Autorisation unique AU-052


Biométrie : Contrôle d’accès sur les lieux de travail avec maîtrise de la personne sur son gabarit

Suite à l’entrée en application du RGPD, les autorisations uniques adoptées par la CNIL n’ont plus de valeur juridique à compter du 25 mai 2018. Dans l’attente de la production de référentiels RGPD, la CNIL a décidé de les maintenir accessibles afin de permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité.
 


L’autorisation unique n°AU-052 concerne les dispositifs biométriques mis en œuvre pour contrôler l’accès aux locaux, appareils et applications informatiques utilisés sur les lieux de travail. Ces dispositifs doivent garantir à la personne concernée de garder la maîtrise de son gabarit. Cela suppose de stocker le gabarit biométrique

- sur un support détenu par la seule personne concernée
- ou en base de données sous une forme inexploitable car illisible sans un secret détenu par la seule personne concernée.

Ces systèmes intègrent donc par défaut des mécanismes permettant de respecter la vie privée des personnes. Ils doivent être privilégiés lorsqu’un contrôle d’accès biométrique est mis en place dans un contexte professionnel.

L’AU-052 abroge et remplace les autorisations uniques adoptées par la CNIL en matière de biométrie :

- l’AU-027 ( Contrôle d'accès par empreinte digitale aux ordinateurs portables professionnels)
- l’AU-019 ( Réseau veineux de la main sur les lieux de travail)
- l’AU-008 ( Empreinte digitale sur le lieu de travail )
- l’AU-007 (Contrôle d’accès par contour de la main aux lieux de travail).

Les organismes ayant effectué un engagement de conformité à ces autorisations uniques et qui ne respectent plus les conditions fixées par la présente norme disposent d'un délai de deux ans à compter de son adoption pour se mettre en conformité et effectuer un nouvel engagement de conformité, ou demander une autorisation spécifique auprès de la Commission.

 

Texte officiel

Délibération n° 2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise de la personn

Responsables de traitement concernés


Objectif(s) poursuivi(s) par le traitement (finalités)


Finalités exclues du champ de la norme


Données personnelles concernées


Durée de conservation des données


Destinataires des données


Information des personnes et respect des droits « informatique et libertés »


Sécurité et confidentialité

Télécharger le PDF

Cette norme ne correspond pas à votre situation ?

Vérifiez que vous ne rentrez pas dans le cadre de l'autorisation unique AU-053


Vérifier