Tandis que les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et par le RGPD, la Commission Nationale Informatique et Libertés (CNIL) a publié le 28 mars 2019 au Journal Officiel un règlement-type qui définit l’ensemble des obligations que chaque responsable de traitement doit respecter en cas de mise en place de ces dispositifs “à des fins de contrôle d’accès aux locaux, aux applications et aux outils de travail”. Ce règlement rappelle qu’une donnée biométrique est considérée comme “sensible” en France et vient compléter le RGPD en définissant de manière précise les données pouvant être collectées, pour quelles finalités, leurs durées de conservation, etc.
Qu’est ce que la biométrie ?
La biométrie est l’étude et l’analyse des caractéristiques physiques, physiologiques ou comportementales d’une personne, qui permettent de l’identifier de manière unique. Ces données sont inhérentes à une personne et ne changent pas ou que très peu durant sa vie. Il s’agit notamment du visage, des empreintes digitales, de l’ADN, etc.
Ces données sont considérées comme “sensibles” au sens de l’article 4 du Règlement Général sur la Protection des Données, et doivent donc être protégées de manière à ne pas tomber entre n’importe quelles mains.
En France, l’utilisation de données biométriques afin d’identifier de manière certaine un individu est fortement encadrée, et n’est possible que pour certaines finalités (les utilisations les plus connues étant celles faites par la police, les hôpitaux, etc.).
Depuis plusieurs décennies, les employeurs utilisent néanmoins des systèmes biométriques dans la gestion de leurs Ressources Humaines (donc les données biométriques de leurs collaborateurs), afin notamment de gérer les accès à leurs locaux, le temps de travail, etc. Cette utilisation spécifique des données biométriques n’étant pas toujours justifiée par un intérêt important de sécurité pousse le législateur et les autorités compétentes à la réguler, afin notamment de protéger au maximum les collaborateurs contre d’éventuelles dérives.
Qu’est ce que le traitement de données biométrique ?
Le mot “traitement” est défini par le RGPD : une suite d’opérations réalisées sur des données, commençant par la collecte des données, leur stockage, analyse, … jusqu’à la suppression définitive des données à la fin du traitement.
Un traitement impacte les personnes dont les données sont traitées, de manière positive ou négative, et s’étale plus ou moins dans le temps (un traitement peut aussi bien durer quelques jours, que plusieurs années).
Les données biométriques étant sensibles (puisque permettant d’identifier de manière formelle ou quasi-formelle une personne), assurer la sécurité du traitement est une nécessité. Personne ne souhaite voir ses empreintes digitales entre les mains de personnes mal intentionnées ou de pirates.
Quelles sont les conditions de réalisation d’un traitement biométrique ?
Comment justifier l’utilisation d’un système biométrique dans un lieu de travail ?
Au sens du règlement-type sur la biométrie du travail (article 2) : “le recours aux dispositifs biométriques” ne peut être considéré comme étant légitime que s’il respecte l’une des deux finalités suivantes :
Le contrôle d’accès aux locaux limitativement identifiés par l’organisme comme devant faire l’objet d’une restriction de circulation ;
Le contrôle d’accès aux appareils et applications informatiques professionnels limitativement identifiés de l’organisme.
Il y est précisé qu’un dispositif biométrique ne peut être utilisé dans le cadre d’un “contrôle d’accès” sans que des lieux, matériels ou logiciels spécifiques n’aient été “limitativement identifiés” par le responsable de traitement. Le responsable de traitement, ici l’employeur, devra alors préciser non seulement les raisons pour lesquelles un contrôle d’accès est nécessaire, mais également déclarer quels sont précisément les “lieux […] appareils et applications informatiques” qui nécessitent de telles vérifications.
Ces raisons avancées par le responsable de traitement doivent non seulement être documentées par le responsable de traitement, mais doivent également respecter un formalisme particulier précisant notamment :
Le contexte spécifique rendant nécessaire un niveau de protection élevé
Les raisons justifiant l’utilisation de la biométrie plutôt qu’une autre technologie ;
Doit-on récolter le consentement des personnes concernées ?
Selon la CNIL, le consentement des salariés n’est pas nécessaire puisque, dans le cadre d’un lieu de travail, “l’existence du lien hiérarchique entre l’employeur et ses subordonnées créé de fait un déséquilibre dans les relations susceptible d’affecter le caractère libre du consentement”. Ainsi, cet accord est, en général, peu souvent “retenu en tant que fondement juridique d’un traitement de données sur le lieu de travail”. L’argument juridique avancé sera l’obligation légale ou l’intérêt légitime du responsable de traitement, si cela respecte le règlement-type.
Toutefois, bien que ce consentement ne soit pas obligatoire, il reste cependant possible qu’un employeur recueille l’autorisation de ses salariés afin de mettre en place un dispositif biométrique au sein de son organisme.
Si cela permet de privilégier une certaine liberté dans la décision de la forme du consentement, il faut cependant noter que l’intérêt légitime sera certainement le fondement juridique le plus utilisé, car la mise en place d’un tel accord d’un employé signifie devoir respecter toute demande d’opposition ou d’effacement de ces données biométriques. La nécessité de prévoir des mesures techniques et organisationnelles supplémentaires dans le cas spécifique où un employé choisirait de retirer son consentement peut dissuader tout organisme de choisir de recueillir directement le consentement au lieu de faire prévaloir une obligation légale de sécurité des locaux, d’applications ou de matériel.
Quelles données personnelles peuvent être collectées par le biais de la biométrie ?
Le règlement-type sur la biométrie au travail prévoit une liste spécifique de données personnelles pouvant être collectées par un dispositif d’accès biométrique, notamment :
Les données dites “d’identification” (nom, prénom, photographie, numéro d’authentification, numéro de matricule interne, grade, accès aux locaux, plages horaires autorisés,…) ;
Les données dites “de journalisation”, c’est-à-dire l’ensemble des données qui sont générées directement par le dispositif d’accès biométrique (accès autorisés, horodatage des tentatives d’accès, matériels ou applicatifs concernés, numéro d’authentification ou numéro de support individuel,…)
Il est cependant important de rappeler que si les caractéristiques morphologiques des personnes concernées peuvent être prélevées (empreinte digitale, iris, réseau veineux de la main, …), tout prélèvement biologique (sang, salive,…) est interdit à la collecte dans le cadre de ce règlement.
Quelles sont les personnes étant habilitées à accéder à ces données ?
Selon la CNIL, seuls peuvent avoir accès aux données les personnes chargées de l’enrôlement des collaborateurs, celles pouvant supprimer les données, ou celles assurant la maintenance du dispositif biométrique.
Autrement dit, seuls trois types de personnes pourront connaître de certaines données :
Les Ressources Humaines chargées de recruter le collaborateur auront accès au moins aux données d’identification et aux données biométriques, puisqu’ils les récoltent pour le compte de l’employeur ;
La Direction des Systèmes d’Information ou équivalent aura un accès aux données, puisqu’elle permet d’assurer leur conservation et leur suppression ;
Le prestataire ou service installant et assurant la maintenance du dispositif sera susceptible aussi d’accéder aux données.
Combien de temps conserver les données ?
La CNIL dispose de 3 durées de conservation différentes selon les données :
Les données d’identification utilisées dans le cadre du traitement des données biométriques ne peuvent être conservées plus de 6 mois après la date du retrait des habilitations (droits d’accès) ou après le départ du collaborateur ;
Les données de journalisation doivent être supprimées 6 mois après leur date d’enregistrement ;
Les données biométriques ne peuvent être conservées que pendant la durée du traitement. Elles sont supprimées dès que les habilitations sont retirées.
Les durées de conservation ne peuvent jamais être plus longues que celles prévues par le règlement-type, hors les cas où les conserver est nécessaire pour protéger la vie du collaborateur, pour exercer un droit, ou lorsque des autorités judiciaires ne l’imposent.
Doit-on informer les personnes concernées de ce traitement de données
Ce règlement-type étant soumis aux dispositions légales du Règlement Général sur la Protection des Données, le responsable de traitement doit respecter l’article 12 de ce règlement, qui affirme qu’il doit prendre faciliter “l’exercice des droits conférés à la personne concernée” ainsi que de prendre “des mesures appropriées pour fournir toute information […] ainsi que pour procéder à toute communication […] en ce qui concerne le traitement à la personne concernée”.
Dès lors, tout employeur mettant en place un dispositif biométrique au sein de son lieu de travail doit nécessairement être transparent avec ses employés en leur fournissant des informations de façon “concise, transparente, compréhensible et aisément accessible, en des termes claires et simples” concernant ce traitement de données. Cette communication doit alors faire l’objet d’un document écrit qui soit délivré à chaque personne concernées par le responsable de traitement, et ce “préalablement à l’enrôlement des données biométriques de ce dernier”, c’est à dire avant que ces données ne soient collectées et traitées.
La nécessaire conformité au Règlement Général sur la Protection des Données implique également que tout droit accordé aux personnes concernées prévu par le RGPD (droit d’accès, droit d’opposition, droit à l’effacement,…) doit être respecté par le responsable de traitement.
Quelles sont les modalités du traitement des données ?
Les types de traitement de la donnée biométrique
Dans son règlement type, la Commission Nationale Informatique et Libertés distingue trois (3) types de traitements de données biométriques, chaque type garantissant plus ou moins le contrôle du collaborateur sur le traitement de ses données.
Le type 1 correspond à l’hypothèse où la personne concernée a la maîtrise totale de sa donnée biométrique. La CNIL entend par là que seule la personne concernée détient le support de stockage de sa donnée, par exemple un badge, et est donc la seule à décider à qui la confier, ou de la supprimer.
L’utilisation de la donnée se fait alors de manière à ce qu’un matériel biométrique vérifie que la donnée présente dans la carte correspond bien à son porteur. La donnée n’est pas enregistrée par l’employeur.
Le type 2 correspond à une maîtrise partagée de la donnée entre la personne concernée et son employeur. Dans ce cas, l’employeur dispose de la donnée biométrique dans ses bases de données, mais celle-ci est chiffrée par un algorithme, et seule la personne concernée détient le code pour la déchiffrer.
Lorsqu’il va falloir vérifier la concordance entre la donnée et le collaborateur, celui-ci va alors saisir son code, afin que l’appareil déchiffre la donnée et fasse la vérification.
Le type 3, celui le plus courant actuellement, correspond à l’hypothèse où l’employeur a la maîtrise totale de la donnée : celle-ci se trouve dans ses bases de données et la personne concernée ne dispose pas du code pour la déchiffrer.
Lorsque le collaborateur va passer par le matériel biométrique, ce matériel vérifie directement dans la base de données la concordance entre la donnée et la personne.
La CNIL préconise, afin de garantir les droits des personnes concernées par la donnée, à ce que le type 1 soit favorisée lorsque le traitement de données est possible.
Si le type 1 ne peut être mis en oeuvre, pour des raisons techniques ou de sécurité, le type 2 doit être favorisé. Si le type 2 n’est pas non possible, alors seulement le type 3 est envisageable.
Le stockage de la donnée biométrique : le “gabarit”
La donnée biométrique doit être conservée de manière à ce que personne ne puisse l’utiliser pour reconnaître la personne concernée si la donnée est volée, perdue, etc.
La CNIL demande à ce que ce ne soit pas la donnée biométrique elle-même qui soit conservée, mais son gabarit, comme expliqué ci-dessous.
présentation des données biométriques
Le principe : l’employeur n’a pas besoin de la donnée biométrique brute pour vérifier l’identité de son collaborateur, mais uniquement de certaines informations de cette donnée.
Dans le cas d’une empreinte digitale par exemple, l’employeur récupère l’empreinte brute, mais seules quelques points spécifiques de l’empreinte seront conservés (la donnée dérivée). Le gabarit sera l’emplacement des ces points spécifiques et ce à quoi ils correspondent. Ce gabarit est chiffré et est conservé sur une carte à puce ou un badge.
Lorsque le collaborateur passera son badge sur le matériel biométrique, le matériel comparera le gabarit à la donnée dérivée et permettra de vérifier la concordance.
Une fois le dérivé enregistré dans les bases de données et le gabarit enregistré dans la carte / badge, l’employeur n’a plus besoin de l’empreinte brute et peut donc la supprimer.
La sécurité des données biométriques
Le RGPD impose aux organismes, dans ces articles 32 et suivants, de garantir une sécurité suffisante des données personnelles traitées, quelles qu’elles soient.
Afin de ne pas laisser de place au doute sur les mesures de sécurité minimales à mettre en oeuvre, la CNIL en liste un certain nombre dans son règlement type à l’article 10, en divisant ces mesures de sécurité en cinq (5) types : les mesures relatives aux données, à l’organisation (du traitement), aux matériels (utilisés pour le traitement), aux logiciels (utilisés pour le traitement) et aux canaux informatiques.
Au total, une trentaine (30 et +) de mesures de sécurité obligatoires sont listées par la CNIL pour pouvoir mettre en place un traitement de données biométriques.
Source : Site officiel de la CNIL