Publication d’un règlement type de la CNIL encadrant la biométrie sur les lieux de travail

La loi du 20 juin 2018 relative à la protection des données personnelles(1) a confié à la Commission nationale de l’informatique et des libertés (CNIL) une nouvelle mission d’élaboration du cadre règlementaire relatif à la sécurisation des systèmes de traitement de données à caractère personnel et de gestion des traitements de données biométriques, génétiques et de santé.

Précédé d’une consultation publique, le règlement type « biométrie sur les lieux de travail »(2) publié au Journal officiel de la République française du 28 mars 2019 constitue le premier acte juridique de ce type élaboré par la Commission. Ce texte à caractère contraignant précise aux organismes les conditions dans lesquelles ils peuvent mettre en œuvre des dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, conformément au paquet européen relatif à la protection des données, et en particulier au Règlement général sur la protection des données (RGPD) du 27 avril 2016(3) et à la loi du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.

Le règlement type limite les finalités du traitement des données biométriques sur les lieux de travail - données qui ne peuvent porter que sur des caractéristiques morphologiques de la personne concernée - au contrôle d’accès à des locaux, appareils et applications spécifiquement identifiés par le responsable du traitement. Le contexte et les raisons du traitement de telles données doivent être précisément motivés par le responsable de traitement qui documente cette justification et informe individuellement les personnes concernées. Il prend toutes les protections utiles pour « préserver la disponibilité, l’intégrité et la confidentialité des données traitées » lors de la responsabilisation des personnes ainsi que lors de la sécurisation des matériels et logiciels et, réalise une étude d’impact préalable renouvelée au minimum tous les trois ans.

Afin d’assurer la protection des données biométriques collectées et traitées, la CNIL pose la condition de maîtrise du support de stockage durable des « gabarits biométriques » – c’est-à-dire les mesures qui sont mémorisées lors de l'enregistrement des caractéristiques biométriques – et d’adaptation du dispositif aux circonstances. Enfin, la conservation des données biométriques dérivées est limitée à la durée d’habilitation de la personne concernée par le traitement de ces données, et à six mois après l’extinction de celle-ci pour les données d’identification annexes. En cas de dispositions législatives ou réglementaires spécifiques, ou encore de contentieux le justifiant, ces données peuvent être conservées dans une base distincte au delà de la durée prévue.
 
Notes
puce note (1) Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles
puce note (2) CNIL – Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail - Publié au JORF n° 0074 du 28 mars 2019, texte n° 99
puce note (3) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD)
 
 
Informations légales | Données personnelles