La CNIL a publié un règlement type relatif à la biométrie sur les lieux de travail

Actualité
RH RGPD

À la suite d’une consultation publique, la CNIL a adopté un règlement type précisant les obligations des employeurs souhaitant recourir aux dispositifs biométriques pour contrôler les accès aux espaces, aux applications et aux outils de travail.

La CNIL a publié un règlement type relatif à la biométrie sur les lieux de travail
Publié le
Télécharger en PDF

Cet article a été publié il y a 5 ans, il est donc possible qu'il ne soit plus à jour.

Le contexte d’adoption du règlement type

Le traitement des données biométriques peut générer des risques importants pour les droits et les libertés des personnes.

Le règlement européen sur la protection des données (RGPD) a consacré le caractère particulier des données biométriques en les qualifiant de « sensibles », au même titre que les données concernant la santé, les opinions politiques ou les convictions religieuses.

Le traitement de ces données sensibles est en principe interdit, sauf dans certains cas limitativement énumérés.

Pour adapter le droit national à l’évolution des règles européennes, la loi Informatique et Libertés française a été modifiée. Les nouvelles dispositions prévoient que des dispositifs de contrôle d'accès biométriques peuvent être mis en place par les entreprises à condition d'être conformes à un règlement type élaboré par la CNIL.

La CNIL indique que le règlement type « biométrie sur les lieux de travail » constitue le premier acte juridique de ce type élaboré par la Commission. Sa rédaction définitive a été précédée d’une consultation publique. Une trentaine de retours ont été adressés à la CNIL à cette occasion, et ont fait l’objet d’un examen attentif.

Ce cadre de référence s’inscrit dans la continuité des positions antérieures de la CNIL en matière de biométrie sur les lieux de travail. Il précise aux entreprises comment encadrer leurs traitements de données biométriques et revêt un caractère contraignant. Les entreprises qui mettent en œuvre ces traitements sont donc tenues de respecter les indications données dans le règlement type.

Les principales dispositions du règlement type

En substance, le règlement type :

  • encadre le recours à la biométrie à des fins de contrôle des accès aux locaux, au matériel ou encore aux applications de travail ;
  • oblige l’entreprise à justifier le recours à la biométrie, par des considérations spécifiques (contexte, enjeux, contraintes techniques et règlementaires particulières, etc.) particulièrement détaillées pour les types de biométrie présentant le plus de risques ;
  • oblige l’entreprise à respecter un cahier de charges rigoureux en ce qui concerne les mesures de sécurité organisationnelles et techniques ;
  • impose aux entreprises de justifier et de documenter les différents choix effectués lors de la mise en place des dispositifs biométriques ;
  • rappelle et renforce certaines obligations issues du RGPD, notamment celle d’informer les personnes concernées ;
  • exige des responsables de traitement la réalisation d’une « analyse d’impact relative à la protection des données ».

Référence

Délibération CNIL n° 2019-001 du 10 janvier 2019 portant sur le règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques.