Biométrie : un nouveau cadre pour le contrôle d’accès biométrique sur les lieux de travail

Voltaire Avocats / Actualités en droit social  / Biométrie : un nouveau cadre pour le contrôle d’accès biométrique sur les lieux de travail

Biométrie : un nouveau cadre pour le contrôle d’accès biométrique sur les lieux de travail

Jusqu’à présent, la doctrine de la CNIL en matière de biométrie élaborée à partir de 2006 se basait sur la distinction entre des caractéristiques biométrique dites « à traces » et « sans traces ». En fonction du type de biométrie utilisé, des exigences plus ou moins fortes s’appliquaient aux dispositifs mis en œuvre.

Mais, le perfectionnement des outils de captation accessibles à bas coût, permettant de collecter les images du visage, de la voix et même du réseau veineux, a conduit la CNIL a constater que désormais, toutes les biométries doivent être considérées comme laissant des traces sur le passage des personnes. La distinction « traces » / « sans traces » n’est donc plus pertinente contrairement à celle reposant sur le type de stockage (dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique ou non).

Le 30 juin 2016, la CNIL a donc adopté deux autorisations uniques qui encadrent désormais l’ensemble des dispositifs de contrôle d’accès biométrique sur les lieux de travail, quels que soient les types de biométries utilisées. Elles abrogent les autorisations uniques AU-007, AU-008, AU-019, AU-027. Ces délibérations sont parues au JO du 27 septembre 2016.

Elles distinguent :

  • les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (AU-052)
  • les dispositifs biométriques ne garantissant pas cette maîtrise (AU-053).

Les autorisations uniques adoptées s’inscrivent dans la logique du règlement européen sur la protection des données. Elles intègrent les pré-requis de l’étude d’impact sur la vie privée et les concepts de protection des données dès la conception du produit et par défaut (« privacy by design » et « privacy by default »), auxquels les responsables de traitement devront se conformer d’ici mai 2018. La CNIL entend accompagner dès à présent les organismes dans leur mise en conformité à ces nouvelles règles.

Les responsables de traitements qui avaient effectué un engagement de conformité aux autorisations uniques désormais abrogées (AU-007, AU-008, AU-019, AU-027) doivent vérifier si leur traitement répond aux exigences des nouvelles autorisations uniques AU-052 ou AU-053 et réaliser dans un délai de deux ans, s’ils sont conformes, un nouvel engagement de conformité.