Conformément à une de ses nouvelles missions attribuées par la loi relative à la protection des données personnelles, promulguée le 20 juin 2018 et ayant adapté la loi « Informatique et Libertés » de 1978 au règlement de l’Union européenne no 2016/679 (règlement général sur la protection des données, dit RGPD), la CNIL (Commission nationale de l’informatique et des libertés) se doit d’établir et de publier des « règlements type » permettant d’assurer une gestion sécurisée des systèmes de traitement et du traitement des données biométriques, génétiques et de santé. Et c’est dans le cadre de cette mission que la CNIL a, par sa délibération n° 2019-001 du 10 janvier 2019, élaboré pour la première fois un « règlement type » relatif au « contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail ».
1/ L’authentification biométrique sur les lieux de travail, un enjeu de protection des droits et libertés des personnes
Aux termes de l’article 4-14 du RGPD, les données biométriques sont « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ». Ces données sont considérées comme sensibles par l’article 9 du RGPD, au même titre que les données à caractère personnel qui révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données génétiques, ou encore des données concernant la santé, la vie sexuelle ou l’orientation sexuelle. Sauf exceptions limitativement énumérées par ce dernier article, le traitement des données considérées comme sensibles est interdit.
La collecte des données biométriques par les employeurs présentant des risques importants pour les droits et libertés des personnes concernées, la loi du 20 juin 2018 relative à la protection des données personnelles l’autorise à la condition qu’elle soit encadrée par un règlement type. C’est ainsi qu’un règlement type élaboré par la CNIL et publié au Journal officiel le 28 mars 2019 est venu fixer un certain nombre d’exigences spécifiques à la mise en place des dispositifs d’authentification biométriques nécessaires aux employeurs publics ou privés dans le cadre du contrôle d’accès aux lieux de travail, aux appareils et aux applications informatiques.
Ce règlement ne se substitue ni au RGPD ni à la loi « Informatique et Libertés ». Il les complète afin d’assurer une meilleure effectivité de la protection des droits et libertés des salariés, agents, stagiaires et prestataires.
2/ Attention à respecter les exigences du « règlement type » authentification biométrique
La délibération n° 2019-001 du 10 janvier 2019 portant règlement type est explicite quant aux différentes obligations qui pèsent sur les employeurs souhaitant mettre en place un système de traitement des données biométriques.
Vous devrez ainsi respecter les obligations suivantes :
- Le recours aux dispositifs de contrôle n’est autorisé que pour :
- le contrôle d’accès aux locaux limitativement identifiés comme devant faire l’objet d’une restriction de circulation ;
- le contrôle d’accès aux appareils et applications informatiques professionnelles limitativement identifiés.
- Le responsable du traitement doit démontrer la nécessité de recourir à un dispositif d’authentification biométrique en justifiant de manière documentée de la nécessité d’un niveau de protection élevée, et des raisons de l’employeur de recourir à un tel dispositif plutôt qu’à une autre technologie.
- Le responsable du traitement doit prendre toutes précautions utiles afin de préserver la disponibilité, l’intégrité et la confidentialité des données traitées.
- Pour ce faire, il adoptera au minimum les mesures relatives aux données, à l’organisation, aux matériels, aux logiciels et aux canaux informatiques limitativement énumérés par le règlement type ;
- La bonne mise en œuvre de ces mesures doit être contrôlée au moins tous les trois ans par le responsable du traitement.
- Des personnes habilitées à accéder aux dossiers doivent être prévues, et ce, dans les limites de leurs attributions.
- L’employeur doit fournir aux personnes concernées par ces dispositifs l’information individuelle obligatoire prévue par les articles 12 et suivants du RGPD.
- Par ailleurs, aux fins d’identifier et de traiter les risques pour les droits et libertés des personnes, le responsable du traitement devra procéder à leur évaluation par le moyen d’une analyse d’impact au moins tous les trois ans, et devra en tirer des conclusions sur les mesures supplémentaires qui en découleraient pour une meilleure protection des données.
En outre, il est à noter que la CNIL précise dans son Guide du sous-traitant qu’a la qualité de sous-traitant, et non de responsable du traitement, celui qui traite des données personnelles pour le compte, sur instruction et sous l’autorité de l’organisme employeur (article 4 du règlement (UE) 2016/679 du 27 avril 2016, dit RGPD).
Pour conclure, le responsable du traitement devra respecter l’ensemble des obligations imposées par ce « règlement type » pour la mise en place de dispositifs d’authentification biométrique, en plus des obligations générales découlant du RGPD.