Focus sur les exigences de la Cnil en matière de traitements de données biométriques sur le lieu de travail

La Commission nationale de l’informatique et des libertés (Cnil) a publié son premier règlement type visant à préciser les conditions dans lesquelles un employeur, en qualité de responsable de traitement, est autorisé à déployer des dispositifs biométriques sur le lieu de travail à des fins de contrôle des accès des salariés, des agents, des stagiaires ou encore des prestataires, qu’il s’agisse des accès aux locaux mais également aux appareils ou encore aux applications informatiques utilisés dans le cadre des missions confiées à ces derniers.

 

Une nouvelle mission de la Cnil

La loi informatique et libertés, révisée une première fois par la loi n°2018-593 du 20 juin 2018 (la « LIL 3 ») puis par l’ordonnance n°2018-1125 du 12 décembre 2018 (la « LIL 4 », qui a vocation à entrer en vigueur au plus tard le 1er juin 2019), afin de clarifier les dispositions françaises au regard des nouvelles dispositions issues du règlement européen (UE)2016/67 9 du 27 avril 2016 dit « règlement général sur la protection des données » (« RGPD »), confère à la Cnil une nouvelle mission.

En effet, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, la Cnil dispose désormais du pouvoir d’établir « des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ». Ces règlements types n’ont pas vocation à se substituer aux principes généraux applicables en matière de protection des données à caractère personnel mais à les compléter.

En outre, l’édiction par la Cnil d’un règlement type relève de son pouvoir réglementaire et est donc à ce titre contraignant pour les organismes (contrairement aux référentiels ou recommandations qui, d’un point de vue strictement juridique, ne sont pas contraignants mais permettent d’identifier les bonnes pratiques à déployer).

C’est dans ce contexte que la Cnil a publié, à la suite d’une consultation publique, son premier règlement type (cf. Délibération n° 2019-001 du 10 janvier 2019 publiée le 28 mars 2019) déterminant les exigences spécifiques applicables aux traitements de données biométriques (cf. données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques) aux fins de contrôle par les employeurs publics ou privés de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires. Ce nouveau cadre de référence s’inscrit toutefois dans la continuité des positions antérieures de la Cnil en matière de biométrie sur les lieux de travail.

 

Les principales exigences issues du règlement type de la Cnil

S’agissant en particulier des dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, et outre le respect des principes applicables en matière de protection des données à caractère personnel (cf. conditions de licéité du traitement, principe de minimisation des données, information obligatoire des personnes concernées, etc.) les employeurs publics ou privés mettant en œuvre de tels traitements de données à caractère personnel sont désormais également tenus de respecter les obligations édictées par la Cnil dans son règlement type.

Dans ce contexte, la Cnil est venue préciser les conditions dans lesquelles les traitements de données à caractère personnel à l’aide de dispositifs biométriques peuvent être déployés par un employeur aux fins de contrôle d’accès. Ainsi, les règles suivantes doivent notamment être respectées par le responsable de traitement :

  • un tel traitement n’est autorisé qu’aux fins de contrôle d’accès aux locaux limitativement identifiés par le responsable de traitement comme devant faire l’objet d’une restriction de circulation ou de contrôle d’accès aux appareils et applications informatiques professionnels limitativement identifiés par le responsable de traitement ;
  • le responsable de traitement doit justifier de son recours à la biométrie, plutôt qu’à une autre technologie (par exemple, recours à des dispositifs d’identification tels que des badges ou mots de passe), et ce au regard de considérations spécifiques (contexte, enjeux, contraintes techniques et règlementaires particulières, etc.) ;
  • le responsable de traitement est tenu de mettre en œuvre des mesures de sécurité organisationnelles et techniques d’un niveau de performance élevé (chiffrement, mesures spécifiques de détection des fraudes, gestion stricte des habilitations, modes de stockage adaptés en fonction du type de gabarit, etc.) ;
  • le responsable de traitement doit pouvoir justifier, de manière documentée, des différents choix effectués lors de la mise en place des dispositifs biométriques (par exemple, s’agissant des types de biométrie utilisés : iris, empreinte digitale, réseau veineux de la main, etc.);
  • les durées de conservation des données sont strictement encadrées (par exemple, les enregistrements bruts de la caractéristique biométrique, tels que les photographies ou enregistrements audios, ne peuvent être traités que le temps nécessaire au calcul du ou des gabarits et ne peuvent donc pas être conservés) ;
  • l’information à l’attention des personnes concernées doit être fournie dans une notice écrite remise par le responsable de traitement à chaque personne concernée préalablement à l’enrôlement des données biométriques ;
  • le responsable de traitement doit réaliser une analyse d’impact relative à la protection des données (cf. article 35 du RGPD et liste des traitements établie par la Cnil pour lesquels une telle analyse d’impact est requise), étant précisé qu’il est tenu de mettre à jour au moins tous les trois ans cette évaluation des risques ainsi que de déployer le cas échéant les mesures de sécurité supplémentaires qui en résulteraient.

Bien entendu, lorsqu’un responsable de traitement a recours à un sous-traitant auquel il confie la conception et/ou l’installation d’un tel système de contrôle d’accès biométrique, il lui appartient de s’assurer que son sous-traitant présente des garanties suffisantes, en lui imposant notamment le respect des règles édictées par la Cnil en la matière et rappelées ci-dessus. Par ailleurs, outre la réalisation par le responsable de traitement des vérifications appropriées à cette fin, notamment afin de s’assurer des mesures techniques et organisationnelles de sécurité déployées par le sous-traitant pour se conformer aux textes applicables et aux règles précitées, un contrat organisant la répartition des rôles et responsabilités en matière de protection des données entre ces acteurs, ainsi que les modalités de leur coopération, doit impérativement être conclu .

 

Les exigences complémentaires en matière de droit du travail

Pour mémoire, outre le respect des exigences susvisées en matière de protection des données à caractère personnel qui sont justifiées par les risques engendrés pour les droits et libertés des personnes concernées, les dispositions applicables en matière de droit du travail encadrent également le recours par un employeur à de tels dispositifs biométriques à des fins de contrôle d’accès (en particulier en matière d’information et de consultation des instances représentatives du personnel).

 

*          *

*

 

Tout projet d’utilisation de dispositifs biométriques sur le lieu de travail à des fins de contrôle des accès des salariés nécessite donc d’être réfléchi et conçu, dans une optique de “privacy by design”, conformément aux précisions, précautions et bonnes pratiques visées par la Cnil dans le cadre de son règlement type. Pour ce faire, la réalisation d’une analyse d’impact (en tout état de cause nécessaire pour ce type de projet) est recommandée comme point de départ mais également comme fil conducteur de l’analyse de la conformité du traitement et du caractère approprié des mesures techniques et organisationnelles de sécurité des données mises en œuvre, au fur et à mesure de la conception et du déploiement dudit projet.

 

Par AGIL’IT – Pôle IT & Data protection

Laure LANDES-GRONOWSKI, Avocate associée

Marie MILIOTIS, Avocate