Les dispositifs de surveillance basés sur des données biométriques sont au cœur de l’actualité en ce début d’année 2019. La CNIL a ainsi adopté un règlement type concernant leur utilisation sur les lieux de travail.

Intérêts des dispositifs biométriques et risques induits – Le recours à un dispositif d’identification reposant sur la biométrie à des fins de surveillance ou d’authentification se comprend aisément compte tenu de l’efficacité de ces dispositifs. Les données biométriques permettent à tout moment l’identification de la personne sur la base d’une réalité biologique qui lui est propre, qui perdure dans le temps et dont elle ne peut s’affranchir.

Sont concernées les caractéristiques morphologiques (empreinte digitale, forme de la main, iris, etc.), biologiques (salive, sang, ADN, etc.) ou comportementales (démarche, etc.).

Les méthodes d’authentification biométriques présentent cependant des risques particulièrement importants pour la vie privée des personnes, ce qui plaide pour leur strict encadrement.

L’encadrement des dispositifs biométriques – La nature particulière des données biométriques a été consacrée par le règlement 2016/679 du 27 avril 2016 (RGPD), puisque celles-ci figurent désormais parmi les données « sensibles » listées à l’article 9 du RGPD.

Le traitement de ces données est ainsi interdit, sauf exception limitativement prévue par le RGPD.

L’article 8-9° de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi dite LIL) prévoit en conséquence que le traitement des données biométriques est interdit, excepté pour les traitements nécessaires au contrôle de l’accès aux lieux et outils de travail, mis en Å“uvre par des employeurs conformément à des règlements types adoptés par la CNIL.

La CNIL a ainsi publié, le 28 mars 2019, son premier règlement type précisant les obligations des organismes souhaitant recourir à des dispositifs biométriques aux fins de contrôle des accès aux locaux, aux applications et aux outils de travail.

Les apports du règlement type – Ce règlement a vocation à régir le recours, par tout employeur, à des procédés biométriques de contrôle des accès aux lieux de travail et outils par les employés au sens large (salariés, agents, stagiaires ou prestataires).

Comme pour tout traitement de données, la CNIL rappelle les obligations générales incombant au responsable de traitement, notamment la nécessité de déterminer une base juridique du traitement et l’obligation d’informer les personnes concernées.

La CNIL rappelle également que les traitements de données biométriques doivent impérativement faire l’objet d’une analyse d’impact relative à la protection des données (AIPD).

Le responsable de traitement doit justifier le recours au traitement de ces données en précisant notamment le contexte spécifique rendant nécessaire un tel niveau de protection et les raisons du recours à la biométrie plutôt qu’à une autre technologie. Ces justifications devront être documentées.
Les types de données biométriques susceptibles de faire l’objet d’un traitement sont également restreints.

Types de données biométriques – Seul l’usage des caractéristiques morphologiques est autorisé. L’authentification biométrique nécessitant un prélèvement biologique (salive, sang, etc.), jugée trop invasive, est expressément exclue.

Le règlement type distingue trois types de dispositifs de stockage de gabarits biométriques (les gabarits correspondent aux mesures biométriques enregistrées dans le dispositif) :

• le type « 1 » ou gabarit sous maîtrise exclusive de la personne concernée : le gabarit est stocké sur un support comme un badge d’accès, détenu uniquement par l’employé ;
• le type « 2 » ou gabarit sous maîtrise partagée : le gabarit est conservé dans une base de données de l’employeur sous une forme inexploitable sans l’intervention de l’individu concerné, en utilisant un code secret par exemple ;
• le type « 3 » ou gabarit sous maîtrise exclusive du responsable de traitement : le gabarit est stocké sous une forme exploitable dans la base de données de l’employeur.

En principe, les traitements de données biométriques mis en place par les employeurs ne peuvent utiliser que des gabarits de type 1. Le recours aux gabarits de type 2 et 3 doit rester exceptionnel et devra être justifié par des considérations spécifiques.

Le règlement fournit par ailleurs une liste détaillée des mesures de sécurité d’ordre technique et organisationnel à mettre en place.

Tout employeur désirant recourir à un dispositif biométrique devra donc respecter scrupuleusement le règlement-type de la CNIL, ainsi que l’ensemble des règles susceptibles de s’appliquer à un tel dispositif de surveillance, notamment prévues par le RGPD, la LIL et le Code du travail.

Anne-Laure Villedieu, avocat associée, droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles

Maxime Hanriot, avocat, droit de la propriété Intellectuelle et des nouvelles technologies

LEXplicite.fr est une publication de CMS Francis Lefebvre Avocats, l’un des principaux cabinets d’avocats d’affaires internationaux. Notre enracinement local, notre positionnement unique et notre expertise reconnue nous permettent de fournir des solutions innovantes et à haute valeur ajoutée en droit fiscal, en droit des affaires et en droit du travail.

Biom̩trie sur les lieux de travail : publication du r̬glement type de la CNIL РAnalyse juridique parue dans le magazine Option Finance le 29 avril 2019