Le contrôle d’accès biométrique sur les lieux de travail

27 septembre 2016

Les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et par le nouveau règlement européen sur la protection des données. Le 30 juin 2016, la CNIL a adopté deux autorisations uniques qui refondent en profondeur l’encadrement des dispositifs de contrôle d’accès biométrique sur les lieux de travail.

La biométrie : qu'est-ce que c'est ?

La biométrie regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (empreintes digitales, iris, voix, visage ou même la démarche). A titre d’illustration, le contrôle d'accès par reconnaissance de l’empreinte digitale fonctionne de la manière suivante :

  • un échantillon biométrique de référence ou « gabarit » créé à partir de l’image de l’empreinte et ne retenant que les points distinctifs des sillons digitaux est enregistré ;
  • ce gabarit de référence est comparé au doigt posé sur le lecteur biométrique, lors du contrôle d’accès. 

Des traitements de données sensibles

La biométrie est aujourd’hui intégrée à de nombreux actes de la vie quotidienne nécessitant une authentification des personnes. Dans un contexte professionnel, il peut s’agir du contrôle d’accès à des locaux, à des ordinateurs, ou à des applications. La biométrie est souvent présentée dans ces cas comme une alternative plus ergonomique et plus fiable que le port de badges encombrants et que l’on peut oublier.

Or, les données biométriques permettent de reconnaitre automatiquement les personnes et reposent sur une réalité biologique permanente, dont elles ne peuvent s’affranchir.

A la différence d’un badge ou d’un mot de passe, il n’est pas possible de se défaire d’une caractéristique biométrique ou de la modifier. Le mauvais usage ou le détournement d’une telle donnée peut alors avoir des conséquences graves pour les droits et libertés des personnes.

Le cadre légal

Les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et sont soumis à l’autorisation préalable de la CNIL (article 25). 

Afin de simplifier la procédure, la Commission a allégé les formalités pour certains dispositifs, en définissant un cadre de référence : l’autorisation unique. Quand un organisme met en œuvre un dispositif biométrique qui répond aux exigences définies par une autorisation unique, il peut effectuer une déclaration simplifiée, qui l'engage au respect des conditions définies dans ce texte.

La CNIL peut, à tout moment, effectuer un contrôle sur place pour vérifier la réalité de cet engagement.

Cas particulier :
les dispositifs biométriques mis en œuvre par l’Etat pour authentifier ou contrôler l’identité des personnes relèvent d’un avis préalable de la CNIL sur un décret (article 27-I-2°).

 

La doctrine de la CNIL

Depuis plusieurs années, de nombreux outils se sont développés pour permettre de capter et de reproduire les caractéristiques physiques des personnes, aisément et à bas coût. L’effacement des frontières entre biométrie « à trace » et « sans trace » ces dernières années a conduit la CNIL à revoir sa doctrine.

Aujourd’hui, toutes les caractéristiques biométriques laissent des traces et peuvent présenter des risques élevés pour les personnes concernées.

AVANT : la distinction entre des biométries à traces et sans traces


AUJOURD’HUI : une minimisation des risques pour la vie privée


Anticiper le règlement européen sur la protection des données

Les traitements de données, notamment biométriques, devront être en conformité avec le règlement européen d’ici mai 2018. A cette date, les dispositifs biométriques ne seront plus soumis à l’autorisation préalable de la CNIL.

Les organismes qui mettent en oeuvre ces dispositifs devront en revanche :

  • documenter les différentes caractéristiques de leurs traitements
  • être en mesure de démontrer leur proportionnalité
  • respecter les principes de protection des données par défaut et dès la conception
  • réaliser une analyse d’impact relative à la protection des données, si leur traitement biométrique est réalisé à grande échelle.

Ces nouvelles exigences sont intégrées dans les autorisations uniques AU-052 et AU-053.

Comment procéder pour se mettre en conformité ?

Vérifier que le traitement de données biométriques est nécessaire 

  • si un système de badge est suffisant, la réponse est NON
  • si cela ne répond qu’à un besoin de confort, la réponse est NON
  • si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles, la réponse est NON

Réponse : NON => le traitement de données biométriques n’est pas nécessaire, une solution moins intrusive doit être privilégiée

Réponse : OUI => passer à l’étape 2

 

Garantir la maîtrise du gabarit par la personne concernée

  1. Le responsable du dispositif biométrqiue devra privilégier le stockage des gabarits sur supports individuels :
  2. S’il n’est pas possible de recourir au support individuel, il devra associer au gabarit stocké en base un secret qui serait confié à la personne concernée et sans lequel le gabarit est illisible

Les responsables de traitements de contrôle d’accès biométrique passant avec succès ces 2 étapes peuvent se conformer à l’AU-052.

Attention : il faudra vérifier le respect de chaque critère précisé dans l’AU-052 avant de faire un engagement de conformité en ligne

S’il est impossible, compte-tenu du contexte de mettre en place un des systèmes prévus à cette étape, passer à l'étape 3. 

Si la maîtrise du gabarit par les personnes concernées n'est pas garantie

Le responsable du traitement souhaitant garder la main sur les gabarits biométriques en les conservant dans ses serveurs :

  1. doit justifier qu'il ne peut pas faire autrement, au regard du contexte de mise en place du dispositif et de son besoin ;
  2. doit remplir la grille d’analyse et vérifier le respect des mesures qui y figurent.

Si ces critères sont remplis, il peut effectuer un engagement de conformité à l’AU-053

  • La documentation relative aux traitements biométriques doit être mise à la disposition de la CNIL, sur simple demande.
  • Cette documentation doit être présentée, avant la mise en œuvre du dispositif biométrique, aux instances représentatives du personnel, lors de l’information et la consultation prévues aux articles L2323-13 et suivants, L 2323-32 du Code du travail et par la législation applicable aux trois fonctions publiques. 

Mesures transitoires

Les autorisations uniques AU-007, AU-008, AU-019, AU-027 sont abrogées. 

Les responsables du traitement qui avaient effectué un engagement de conformité à ces autorisations uniques doivent vérifier si leur traitement répond aux exigences des nouvelles autorisations uniques AU-052 ou AU-053.

  • Si oui : un engagement de conformité à l'une de ces nouvelles autorisations peut être réalisé ;
  • Si non : ils disposent d’un délai de deux ans pour se mettre en conformité

Attention : à l’issue du délai de 2 ans, le règlement européen sera applicable.

La vérification des obligations imposées par les nouvelles autorisations uniques pourront être effectuées à tout moment par la CNIL dans le cadre de contrôles. 

Document reference

Grille d'analyse des risques

Les mots clés associés à cet article