Social
Contrôle des salariés
La CNIL fait évoluer son encadrement des dispositifs de contrôle d’accès biométrique sur les lieux de travail
La biométrie est une technique informatique consistant à identifier une personne à partir de ses caractéristiques physiques ou biologiques (empreintes digitales, iris, voix, etc.). Le recours à ces techniques vis-à-vis des salariés, notamment pour contrôle au lieu de travail, est étroitement encadré par la Commission nationale de l’informatique et des libertés (CNIL).
Jusqu’à présent, les normes établies par la CNIL reposaient sur la distinction entre les caractéristiques biométriques « à traces » (ex. : empreintes digitales, qui subsistent sur tous les supports que l’on a pu toucher, traces ADN) et celles dites « sans traces » (ex. : réseau veineux). Toutefois, la Commission a estimé que cette opposition n’était plus pertinente, compte tenu de l’évolution des technologies, qui permettent désormais de copier et de conserver n’importe quelle caractéristique biométrique.
La CNIL abroge et remplace en conséquence ses délibérations relatives à la mise en œuvre des dispositifs de contrôle d’accès biométrique sur les lieux de travail (délib. 2011-074, 2009-316, 2006-102 et 2012-322 abrogées) pour les remplacer par deux nouvelles délibérations, fondées sur une nouvelle distinction. Le degré d’exigence de la CNIL et le type d’autorisation unique à remplir par l’entreprise varient désormais selon que le dispositif :
-permet à la personne de conserver la maîtrise de son « gabarit » (c’est-à-dire l’échantillon biométrique qui sert de référence), soit parce qu’il est stocké sur un support qu’elle détient (carte à puce, clé USB), soit parce qu’il est intégré à une base de données inexploitable sans un « secret » (ex. : mot de passe) que, là encore, elle seule détient (délib. CNIL 2016-186 du 30 juin 2016, JO 27 septembre ; autorisation unique AU-052) ;
-ou implique une conservation des gabarits biométriques « en base », c’est-à-dire sur un terminal ou un serveur distant, contrôlé par un tiers (délib. CNIL 2016-187 du 30 juin 2016, JO 27 septembre ; autorisation unique AU-053) .
Quel que soit le régime dont relève le dispositif biométrique, celui-ci ne peut avoir d’autre finalité que :
-le contrôle des accès à l'entrée et dans certains locaux identifiés comme devant faire l'objet d'une restriction de circulation, à l'exclusion de tout contrôle des horaires des employés ;
-le contrôle des accès à des appareils et applications informatiques professionnels limitativement identifiés, à l'exclusion de tout contrôle du temps de travail de l'utilisateur.
L’employeur doit démontrer à l’aide de documents la pertinence du recours à un dispositif de contrôle d'accès biométrique, plutôt qu'à un dispositif de contrôle d'accès moins intrusif (badge, vidéosurveillance, mot de passe, etc.). Si le dispositif implique un stockage « en base », il doit justifier de ce choix et des contraintes faisant obstacle au maintien de la maîtrise individuelle des personnes sur leur gabarit.
Les données à caractère personnel pouvant être traitées sont limitativement énumérées et identiques dans les deux régimes : identité (nom, prénom photographie, etc.), vie professionnelle des personnes (numéro de matricule, nom de l’employeur, etc.), déplacement des personnes (porte utilisée, date et heure d’entrée et de sortie, etc.).
Les salariés doivent recevoir une note explicative qui précise notamment la manière d'exercer les droits d'accès, de rectification et d'opposition pour motif légitime.
Les modalités et la durée de conservation varient selon les régimes. Pour que la personne conserve la maîtrise de son gabarit, celui-ci doit être stocké sous forme chiffrée, sur un support individuel de stockage placé sous son contrôle exclusif. Si ce n’est pas possible, l’employeur doit pouvoir en justifier. Le stockage en base avec maîtrise du gabarit par le salarié suppose alors, entre autres conditions, une conservation sous forme chiffrée par une clé de chiffrement/déchiffrement uniquement détenue par la personne concernée (et pas sur le serveur).
Le stockage sans maîtrise du gabarit implique quant à lui une conservation :
-sous forme chiffrée, sans qu’il soit possible de recalculer la donnée biométrique d'origine ; - en base de données, où les caractéristiques biométriques peuvent être associées à un numéro d'authentification de la personne ;
-ou dans la mémoire interne du terminal de lecture comparaison qui ne dispose d'aucun port de communication permettant l'extraction de ce gabarit.
Le gabarit de la donnée biométrique ne peut être conservé que le temps de l'habilitation de la personne concernée et doit être supprimé à son départ.
Les mesures de sécurité sont également plus lourdes en cas de conservation sans maîtrise du gabarit, avec notamment l’obligation pour le responsable du traitement d’élaborer une « analyse d’impact relative à la protection des données », qui décrit précisément les opérations de traitement envisagées et les dispositifs destinés à assurer la protection des données.
En tout état de cause, les délibérations de la CNIL soulignent que les contrôles d'accès aux locaux et à certaines zones ne doivent pas entraver la liberté d'aller et venir des représentants du personnel dans l'exercice de leurs missions.
Les employeurs ont deux ans pour se conformer à ces nouvelles exigences, dont certaines recoupent celles qui existaient déjà.
Délib. 2016-186 du 30 juin 2016, JO du 27 septembre ; délib. 2016-187 du 30 juin 2016, JO du 27 septembre
| Retourner à la liste des dépêches | Imprimer |