Biométrie : le RGPD a laissé des traces
Chargée d’élaborer un règlement type pour encadrer l’usage de la biométrie sur les lieux de travail, la Cnil organise une consultation publique.
Vous souhaitez, sur un lieu de travail, mettre en œuvre des traitements de données personnelles impliquant des dispositifs biométriques ? Il faudra obtenir notre autorisation au préalable.
La Cnil avait fait ce rappel voilà deux ans, à destination des employeurs et des administrations. Elle avait, quelques semaines en amont, révisé son approche en anticipation du futur règlement général sur la protection des données (RGPD).
Le cadre existant avait été remplacé par deux « autorisations uniques ». Celles-ci englobaient respectivement les dispositifs permettant aux personnes concernées de garder la main sur leurs données biométriques (« gabarit ») et ceux ne le permettant pas.
Ces autorisations n’ont plus de valeur depuis le 25 mai 2018, date d’entrée en application du RGPD.
Les dispositions du règlement européen ont été transposées en droit français* par le biais de la loi no 2018-493, en vigueur depuis le 20 juin dernier.
La Cnil est concernée par une partie d’entre elles. Il lui appartient désormais, entre autres, d’établir des règlements types pour régir les traitements de données biométriques.
Le projet (document PDF, 7 pages) esquissé en la matière est soumis à consultation publique jusqu’au 1er octobre 2018. Objectif : fixer des exigences spécifiques à l’usage, par les employeurs et les administrations, de dispositifs biométriques pour le contrôle d’accès à des locaux, à des appareils et à des applications informatiques.
Qu’entend-on exactement par « dispositifs biométriques » ? La Cnil les définit comme « l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales ». Cela comprend donc les empreintes digitales, l’iris, la voix, le visage ou encore la démarche.
Une question de maîtrise
En l’état, le règlement type exclut tout usage à des fins de surveillance du temps de travail des employés. Il impose en outre de démontrer la stricte nécessité de la biométrie face à d’autres dispositifs d’identification ou mesures organisationnelles et techniques de protection.
Y sont par ailleurs listées les données personnelles sur lesquelles peuvent porter les traitements. En l’occurrence, celles relatives à l’identité, à la vie professionnelle, ainsi qu’à l’accès aux locaux et aux outils de travail.
Sont distinguées trois méthodes de détention de gabarits. Il est recommandé de privilégier un support de stockage détenu par la personne, tel un badge. Si un tel dispositif ne peut être mis en œuvre, on se rabattra sur un support maîtrisé par l’employeur et, de préférence, non exploitable sans intervention de la personne concernée.
Les obligations que se voient imposer les responsables de traitement touchent en premier lieu aux données (cloisonnement, chiffrement, suppression en cas d’accès non autorisé…). Elles portent aussi sur l’organisation (mise en place d’un dispositif de secours, d’une détection antifraude…) et sur le couple matériels / logiciels (recours à des outils spécifiques, suivi de leur cycle de vie…).
* Dans sa rédaction postérieure à la transposition du RGPD, la loi informatique et libertés interdit de traiter des données biométriques aux fins d’identifier une personne physique de manière unique. Des exceptions sont faites… y compris pour le contrôle de l’accès aux lieux de travail, aux appareils et aux applications.