Dépêches

Date: 29/03/2019

Social

Social

Surveillance des salariés

La CNIL publie le règlement type encadrant le recours à la biométrie sur les lieux de travail

Les conditions de recours par les entreprises aux dispositifs utilisant la biométrie en vue de contrôler l’accès des salariés aux locaux, aux appareils et aux applications informatiques sur les lieux de travail sont connues, avec la publication au Journal officiel du 28 mars 2019 du règlement type élaboré par la Commission nationale de l'informatique et des libertés (CNIL).

Identification des salariés par la biométrie

Suite à l’entrée en vigueur du règlement européen sur la protection des données (RGPD) le 25 mai 2018, la CNIL doit « mettre à jour » ses délibérations en particulier celles relatives aux traitements des données personnelles des salariés. Elle commence avec la publication du règlement type relatif à la mise en œuvre de la biométrie sur les lieux de travail.

Le traitement de données biométriques est en principe interdit, sous réserve de certaines exceptions.

Parmi ces exceptions figure le recours par les employeurs à des dispositifs d’identification biométrique en vue de contrôler l'accès aux lieux de travail, aux appareils et aux applications informatiques sur les lieux de travail, dès lors qu’ils sont conformes aux règlements types élaborés par la CNIL (loi 78-17 du 6 janvier 1978, art. 8, 9° modifié ; règlt UE 2016/679 du 27 avril 2016, art. 9, JOUE 4 mai 2016).

C’est dans ce cadre que la CNIL a adopté le règlement type « biométrie sur les lieux de travail », publié au Journal officiel du 28 mars 2019. Il s’applique aux employeurs privés et publics et à leurs personnels au sens large (salariés, stagiaires, intérimaires, bénévoles, personnes en service civique, agents des trois fonctions publiques, etc.).

Le règlement type est également accessible sur le site de la CNIL et est accompagné de 16 questions-réponses afin d’en faciliter la lecture et la compréhension (https://www.cnil.fr/fr/biometrie-sur-les-lieux-de-travail-publication-dun-reglement-type).

Cas et conditions de recours à la biométrie sur les lieux de travail

La biométrie permet de vérifier l’identité d’un individu en utilisant des caractéristiques inhérentes à sa personne (ex. : son empreinte digitale). Un employeur peut vouloir utiliser la biométrie plutôt qu’un mode d’authentification par mot de passe ou badge, du fait de sa souplesse et facilité d’utilisation.

Les données biométriques constituant des données sensibles, le recours par l’employeur à des dispositifs d’identification biométrique doit être justifié et encadré.

Tout d’abord, dans le cadre du présent règlement type, l’usage de la biométrie n’est autorisé que dans deux cas :

-pour contrôler l’accès aux locaux limitativement identifiés par l’employeur comme devant faire l'objet d'une restriction de circulation ;

-pour contrôler l’accès aux appareils et applications informatiques professionnels limitativement identifiés par l’employeur.

En outre, l’employeur doit démontrer, de façon documentée, la nécessité de recourir à un traitement de données biométriques, en indiquant les raisons pour lesquelles le recours à d'autres dispositifs d'identification ou mesures organisationnelles et techniques de protection ne permet pas d'atteindre le niveau de sécurité exigé.

Données biométriques pouvant être utilisées et personnes habilitées

Les données biométriques qui peuvent être utilisées en vue de l’authentification des salariés sont celles basées sur des caractéristiques morphologiques (iris, empreinte digitale, réseau veineux de la main, démarche, etc.). Le recours à des prélèvements biologiques (salive, sang, etc.) est interdit. L’employeur doit justifier et documenter son choix d’utiliser tel ou tel type de biométrie.

Les données personnelles des salariés qui peuvent être renseignées via l’identification biométrique sont elles aussi définies de manière limitative : identité, vie professionnelle (numéro de matricule, service d'appartenance, etc.), locaux ou outils de travail autorisés, données de journalisation (accès ou matériels utilisés, horodatage, etc.).

Différents degrés d’habilitation sont prévus en vue de l’accès à ces différentes données et les personnes habilitées ne peuvent accéder aux données que dans les limites de leurs attributions.

Information des salariés

Sans préjudice de ses obligations relatives à l'information et à la consultation des représentants du personnel, l'employeur doit respecter l’obligation d’information des salariés concernés prévue par le RGPD (finalité du traitement, identité du responsable, durée de conservation des données, droit d’accès, etc.).

Cette information doit figurer dans une notice écrite et être remise avant tout recueil de données biométriques.

Le consentement des salariés concernés n’est en principe pas nécessaire dans la mesure où le traitement de données biométriques peut trouver son fondement juridique dans l’intérêt légitime de l’employeur (ex. : assurer la sécurité des locaux de l’entreprise).

En tout état de cause, le règlement type doit être respecté dès lors que le dispositif mis en place relève de son champ d’application, à savoir les dispositifs biométriques permettant de contrôler l’accès aux locaux, aux applications ou outils professionnels.

Obligation de réaliser une analyse d'impact relative à la protection des données (AIPD)

Avant toute mise en œuvre d’un dispositif d’identification biométrique sur le lieu de travail, l’employeur doit réaliser une AIPD, compte tenu du risque élevé pour les droits et libertés des salariés.

L’employeur doit donc à la fois respecter le règlement type, documenter et tenir à disposition de la CNIL les justifications qui y sont demandées et procéder à une évaluation des risques sur les droits et libertés des personnes aux fins de les identifier et, le cas échéant, de les traiter.

L’AIPD doit être mise à jour régulièrement, au moins tous les 3 ans.

Délib. CNIL 2019-001 du 10 janvier 2019, JO 28 mars https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038277620

Retourner à la liste des dépêches Imprimer