Retour au thème "RGPD"
L'essentiel

Les traitements de données biométriques, génétiques, de santé ou d'infraction sont soumis à des règles plus strictes qui sont formalisées dans des règlements types édictés par la Cnil. Ceux-ci s'imposent à l'employeur qui peut être sanctionné par la Cnil en cas de manquement. Aujourd'hui, un seul règlement type a été publié, il porte sur la biométrie sur les lieux de travail (Cnil, Délib. no 2019-001, 10 janv. 2019).

À noter également que certains traitements très spécifiques portant notamment sur les infractions pénales et gérés pour le compte de l'État donnent lieu à déclaration préalable.

Quelles sont les démarches obligatoires lorsque l'entreprise collectent des données biométriques pour l'accès aux locaux ou aux logiciels ?

L'employeur doit obligatoirement suivre un règlement type de la Cnil. Celui-ci concerne précisément les données biométriques qui ont pour finalité le contrôle d'accès à :

  • des locaux de l'entreprise qui doivent faire l'objet d'une restriction de circulation
  • ou des appareils et applications informatiques professionnels de l'entreprise (Cnil, Délib. no 2019-001, 10 janv. 2019, art. 2).
Remarque
Ce règlement de la Cnil ne s'applique pas aux traitements de données biométriques poursuivant une autre finalité que le contrôle de l'accès à des locaux ou à des appareils et applications informatiques.  

L'entreprise doit entreprendre les démarches suivantes :

  • dans un document tenu à la disposition de la Cnil, l'employeur doit démontrer en quoi le recours à un traitement de données biométriques est nécessaire. Il doit préciser le contexte spécifique rendant nécessaire un niveau de protection élevé et les raisons justifiant l'utilisation de la biométrie plutôt qu'une autre technologie (Cnil, Délib. no 2019-001, 10 janv. 2019, art. 3)
  • les salariés et le CSE doivent être informés du traitement de données ()
  • le traitement de données doit faire l'objet d'une analyse d'impact (voir question dédiée) (Cnil, Délib. nos 2018-327, 11 oct. 2018).

Quelles données peuvent être traitées dans ce cadre ?

Un traitement de données biométriques pour l'accès aux locaux et aux logiciels peut collectées les données suivantes :

  • seules les données biométriques s'appuyant sur les caractéristiques morphologiques des personnes concernées sont autorisées par la Cnil (l'iris, les empreintes digitales, le réseau veineux, etc.). L'employeur ne peut en aucun cas recourir à des authentifications biométriques impliquant un prélèvement biologique (salive, sang, etc.). (Cnil, Délib. no 2019-001, 10 janv. 2019, art. 5)
  • seules peuvent figurées dans le traitement, les données suivantes :
    • identité : nom, prénoms, photographie, enregistrement brut (photo, enregistrement audio, etc.) de la caractéristique biométrique et mémorisation par le système d'une ou plusieurs caractéristiques biométriques, numéro d'authentification ou numéro de support individuel, coordonnées professionnelles, clefs de chiffrement
    • vie professionnelle : numéro de matricule interne, corps ou service d'appartenance, grade, identité ou dénomination sociale de la personne ayant la qualité d'employeur
    • accès aux locaux : accès, zones et plages horaires autorisés
    • accès aux outils de travail : matériels ou applicatifs concernés, plages horaires et modalités d'accès autorisées.

Le traitement de données biométriques génère des données de par son fonctionnement. Seules les suivantes sont autorisées (Cnil, Délib. no 2019-001, 10 janv. 2019, art. 4) :

  • accès aux locaux : accès utilisés, horodatage des tentatives d'accès, numéro d'authentification ou numéro de support individuel
  • accès aux outils de travail : matériels ou applicatifs concernés, horodatage des tentatives d'accès, numéro d'authentification ou numéro de support individuel.

Comment doivent être conservées ces données ?

Les traitements de données biométriques pour le contrôle de l'accès aux locaux de l'entreprise ou aux appareils et applications informatiques de l'entreprise (Cnil, Délib. no 2019-001, 10 janv. 2019, art. 2) doivent limiter la conservation des données au strict nécessaire (Cnil, Délib. no 2019-001, 10 janv. 2019, art. 8) :

  • les enregistrements bruts de la caractéristique biométrique ne peuvent pas être conservés au-delà du temps nécessaire à la création du système de traitement
  • les données biométriques dérivées ne peuvent être conservées que sous forme chiffrée ne permettant pas de recalculer la caractéristique biométrique d'origine. Elles ne sont conservées que pendant que le salarié est habilité et sont supprimées en cas de retrait des habilitations ou en cas de cessation des fonctions
  • les données produites par le dispositif biométrique ne peuvent être conservées pendant plus de six mois glissants à compter de leur enregistrement. Elles peuvent cependant être conservées sous forme d'archives distinctes, avec accès restreint, pour le besoin de textes législatifs ou réglementaires spécifiques ou si ces données présentent un intérêt justifiant de les préserver en cas de contentieux
  • les données d'identification non biométriques doivent être supprimées au plus tard dans les six mois suivant la date du retrait des habilitations ou de la cessation des fonctions de la personne concernée.

 

La Cnil différencie trois modalités de stockage des données en fonction des personnes qui y ont accès (Cnil, Délib. no 2019-001, 10 janv. 2019, art. 7) :

  • maîtrise de la personne concernée : le support de stockage durable est détenu par le salarié lui-même. Par exemple, les données sur les empreintes du salarié sont uniquement stockées dans un badge en sa possession, pour s'identifier le salarié doit d'abord transmettre ses données biométriques au lecteur digital via son badge, puis ensuite placer son doigt sur le lecteur. Sauf circonstances spécifiques, c'est nécessairement à ce type de stockage que doit recourir l'employeur
  • maîtrise partagée : les données sont confiées à l'employeur ou son préposé mais sous une forme les rendant inexploitables sans l'utilisation d'un secret détenu par le salarié. Par exemple, le salarié doit entrer un code connu de lui seul dans le système d'identification avant de placer son doigt sur le lecteur d'empreinte qui contient ses données biométriques. Le recours à ce type de stockage n'est possible que si l'employeur justifie que le traitement de données maîtrisé par la personne concernée n'est pas adapté à l'architecture et au contexte du dispositif
  • non-maîtrise par la personne concernée : le support de stockage est maîtrisé par l'employeur ou ses préposés sous une forme exploitable sans action du salarié. Par exemple, le salarié s'identifie simplement en plaçant son doigt sur un lecteur d'empreinte qui contient ses données biométriques et peut les exploiter sans intervention du salarié. Le recours à ce type de système doit être justifié par l'inadaptation des autres types de stockage.

L'employeur doit définir des profils de personnes ayant accès aux données (Cnil, Délib. no 2019-001, 10 janv. 2019, art. 6). Ces personnes varient en fonction des données :

  • les données biométriques elles-mêmes ne sont accessibles qu'aux personnes intervenant dans la création, le paramétrage ou la maintenance du dispositif de traitement de données
  • les données renseignées par l'employeur ne sont accessibles qu'aux personnes gérant le recrutement de la personne concernée, définissant les profils d'accès et assurant la maintenance du dispositif
  • enfin les données générées par le dispositif ne sont accessibles qu'aux personnes assurant la sécurité des locaux, matériels et applicatifs concernés ou du dispositif lui-même.

La Cnil développe une liste minimale de mesures de sécurité à prendre, qui concernent les données elles-mêmes, l'organisation, les matériels, les logiciels et les canaux informatiques (Cnil, Délib. no 2019-001, 10 janv. 2019, art. 10). Parmi ces mesures impératives figurent par exemple le cloisonnement des données, leur chiffrage, l'interdiction d'accès externe, la formation et la responsabilisation des personnes amenées à intervenir, des dispositifs de test ou de secours ou encore la traçabilité.

Pour afficher ce contenu :
créez votre compte gratuitement !
Pour afficher ce contenu :
créez votre compte gratuitement !

Codes, lois et réglementation

Code du travail, Article L. 2312-38

Retour au thème "RGPD"