La biométrie sur le lieu du travail : quelles règles ?
Publié le 08/05/2019 par Etienne Wery
Peut-on sécuriser un bâtiment grâce à un système biométrique ? Ou remplacer les codes d’accès aux ordinateurs de l’entreprise ? La CNIL adopte un nouveau règlement type pour les contrôles biométriques sur les lieux du travail. Analyse.
Rappel historique
La CNIL s’est toujours montré réticente par rapport à la biométrie. Elle considère traditionnellement que les risques sont tellement importants qu’il faut se montrer non seulement prudent, mais même extrêmement prudent.
Sa doctrine habituelle était fondée sur la distinction entre les caractéristiques biométriques « à traces » et « sans trace » (en résumé : l’empreinte digitale est une donnée à trace puisque le fait de toucher un objet laisse la marque de l’empreinte sur celui-ci et pourrait donc être captée à l’insu de la personne, tandis que le réseau sanguin particulier d’un individu dans la paume de sa main est sans trace puisqu’il faut avoir la main proprement dite pour la passer au scanner de lecture).
La CNIL a évolué il y 3 ans, faisant dorénavant reposer la summa divisio sur le gabarit. Le 30 juin 2016, la CNIL a en effet adopté deux autorisations uniques qui encadraient l’ensemble des dispositifs de contrôle d’accès biométrique sur les lieux de travail, quels que soient les types de biométries utilisées, et qui distinguent :
- les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (AU-052)
- les dispositifs biométriques ne garantissant pas cette maîtrise (AU-053).
RGPD oblige, la CNIL a revu l’ensemble de la matière et vient de rendre public un nouveau règlement type.
Le RGPD
L’article 9 RGPD définit les données sensibles (on dit à présent « catégories particulières de données ») comme les données relative à l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé ou celles concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Le traitement des données sensibles est par principe interdit.
Le paragraphe 2 de l’article 9 prévoit quant à lui des exceptions à cette interdiction : autant d’hypothèses dans lesquelles l’interdiction est levée.
Enfin, le paragraphe 4 stipule que les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé.
Quant aux données biométriques, elles ont reçu une définition harmonisée à l’article 4, 14), RGDP : « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques.”
Le droit français
La loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles a confié à la CNIL la mission d’établir et de publier, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, « des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ».
C’est sur cette base que la CNIL vient d’adopter son règlement type, qui « n’a pas vocation à se substituer aux obligations générales découlant du RGPD et de la loi « Informatique et Libertés » modifiée, mais à les compléter ou à préciser certaines d’entre elles. Les organismes mettant en œuvre de tels traitements devront ainsi respecter l’ensemble des autres exigences légales et réglementaires relatives aux principes du traitement de données, aux droits des personnes ou aux transferts internationaux des données ».
Points saillants du Règlement
Seules deux finalités sont prévues au règlement :
- le contrôle d’accès aux locaux limitativement identifiés par l’organisme comme devant faire l’objet d’une restriction de circulation ;
- le contrôle d’accès aux appareils et applications informatiques professionnels limitativement identifiés de l’organisme.
Pour toute autre finalité, il faudra donc passer par le droit commun.
Il ne suffit pas d’être dans un de ces deux cas de figure pour justifier le recours à la biométrie : il faut aussi « démontrer la nécessité de recourir à un traitement de données biométriques, en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges, mots de passe, etc.) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé ».
Le dispositif biométrique ne peut pas comporter n’importe quelles données. Sont visées : les données renseignées par l’employeur ou ses préposés (données d’identification) et celles générées par le dispositif (données de journalisation).
Par ailleurs, si le type de biométrie (iris, empreinte, etc.) dépend des circonstances ; le règlement énonce qu’en milieu professionnel, l’authentification doit être basée sur des caractéristiques morphologiques à l’exclusion de tout prélèvement biologique (salive, sang, etc.).
Sans surprise, le règlement crée une série d’obligations strictes liées à la sécurité, à la conservation et aux habilitations des personnes qui auront accès aux données.
Enfin, la CNIL considère que les traitements régis par le règlement sont considérés comme susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées. Par conséquent, une analyse d’impact relative à la protection des données doit être effectuée par le responsable du traitement préalablement à leur mise en œuvre, et ce quel que soit le type (1, 2 ou 3) de détention du gabarit biométrique choisi.
Le gabarit
Le règlement comporte une section relative au « gabarit » c’est-à-dire « au sens du présent règlement type, le résultat du traitement de l’enregistrement brut (photo, enregistrement audio, etc.) de la caractéristique biométrique par un algorithme rendant impossible la reconstitution de celle-ci. Les gabarits constituent des données biométriques dérivées et doivent ainsi être distinguées des données dont sont issues les caractéristiques biométriques. »
Il y a trois sortes de gabarit, allant du moins intrusif vers le plus intrusif.
Le moins intrusif, appelé gabarit 1, est celui qui est « sous maîtrise des personnes concernées sont ceux dont le seul support de stockage durable est détenu par la personne elle-même, par exemple sous forme de badge ou de carte à puce. »
le principe est de se limiter autant que possible au gabarit 1 : il faut des « circonstances particulière » pour aller au-delà.
La gabarit est le lien entre la doctrine de la CNIL antérieure au RGPD (voir rappel historique ci-dessus) et le règlement actuel.
Si l’on comprend bien la logique du gabarit, qui est en fin de compte une application du principe de minimisation, on s’interroge tout de même sur la création d’une nouvelle définition portant sur les données biométrique dérivées.
Il n’est pas évident que l’article 9, 4), RGPD, permet aux États membres d’aller aussi loin dans les modalités et conditions qu’ils sont libres de fixer. L’avenir le dira.
Plus d’infos ?
En lisant le règlement, disponible en annexe
En consultant les FAQs sur le site de la CNIL.