Délibération n°2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail

Date de signature :10/01/2019 Statut du texte :En vigueur
Date de publication :28/03/2019 Emetteur :Commission nationale de l'informatique et des libertés
Consolidée le : Source :JO du 28 mars 2019
Date d'entrée en vigueur :29/03/2019

Délibération n°2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail


NOR : CNIL1908954X

La Commission nationale de l’informatique et des libertés,

Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations, Formule les observations suivantes :

Contexte

La loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles a confié à la commission une mission nouvelle, celle d’établir et de publier, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, « des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ».

A ce titre, la commission peut prescrire des mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques, devenues sensibles au sens de l’article 9-1° du règlement général sur la protection des données (ci-après RGPD), ainsi que des données génétiques et de santé en application du 4° du même article.

La présente délibération a pour objet l’adoption d’un règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail.

Elle intervient à la suite d’une consultation publique menée du 3 au 30 septembre 2018.

En conséquence, la commission adopte le règlement type suivant :

Article 1er

Objet et champ d’application du présent règlement

Conformément aux dispositions des articles 9-4° du RGPD, 11-I-2o (b) et 8-II-9° de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, le présent règlement type a pour objet de fixer des exigences spécifiques applicables aux traitements de données biométriques nécessaires au contrôle par les employeurs publics ou privés de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires (ci-après, « personnes concernées »).

Les données biométriques s’entendent, conformément à l’article 4-14 du RGPD, comme les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. Ces données sont considérées comme sensibles au sens de l’article 9 du RGPD.

Constitue un « gabarit », au sens du présent règlement type, le résultat du traitement de l’enregistrement brut (photo, enregistrement audio, etc.) de la caractéristique biométrique par un algorithme rendant impossible la reconstitution de celle-ci. Les gabarits constituent des données biométriques dérivées et doivent ainsi être distinguées des données dont sont issues les caractéristiques biométriques.

Le règlement type n’a pas vocation à se substituer aux obligations générales découlant du RGPD et de la loi « Informatique et Libertés » modifiée, mais à les compléter ou à préciser certaines d’entre elles. Les organismes mettant en œuvre de tels traitements devront ainsi respecter l’ensemble des autres exigences légales et réglementaires relatives aux principes du traitement de données, aux droits des personnes ou aux transferts internationaux des données.

Les organismes devront s’assurer que les traitements de contrôle d’accès concernés sont fondés au regard de l’article 6 du RGPD.

Article 2

Finalités du traitement

Le recours aux dispositifs biométriques n’est autorisé, dans le champ du présent règlement type, que pour les finalités suivantes :

Article 3

Justification du recours à un traitement de données biométriques

Le responsable de traitement doit démontrer la nécessité de recourir à un traitement de données biométriques, en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges, mots de passe, etc.) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé.

Cette justification doit :

Article 4

Données personnelles collectées et traitées

Dans le cadre du présent règlement type, le dispositif de contrôle d’accès biométrique ne peut comporter que les données à caractère personnel suivantes :
 

Article 5

Données biométriques

Est autorisée, en milieu professionnel, l’authentification biométrique basée sur des caractéristiques morphologiques des personnes concernées. L’authentification biométrique nécessitant un prélèvement biologique (salive, sang, etc.) est proscrite dans le champ du présent règlement.

Le choix du ou des types de biométrie (iris, empreinte digitale, réseau veineux de la main, etc.) doit être justifié et documenté par l’employeur, notamment la raison d’utilisation d’une caractéristique biométrique plutôt qu’une autre.

Article 6

Personnes habilitées à traiter les données

Des profils d’habilitation doivent être prévus afin de gérer les accès aux données en tant que de besoin.

Les personnes habilitées ne peuvent accéder aux données que dans les limites de leurs attributions. Une revue annuelle des habilitations doit être opérée afin d’assurer que les droits accordés restent bien cohérents avec les personnes habilitées et leurs fonctions.

Seules peuvent avoir accès aux données biométriques les personnes qui sont limitativement habilitées en raison de leurs fonctions à gérer l’enrôlement de la personne concernée, à supprimer les gabarits ou à assurer la maintenance du dispositif. Elles ne doivent accéder à ces gabarits dans le cadre de leur habilitation que de façon temporaire et pour les stricts besoins des actions précitées.

Peuvent avoir accès aux autres données à caractère personnel renseignées dans le dispositif biométrique (identité, vie professionnelle, accès aux locaux, matériels et applicatifs) les personnes qui sont limitativement habilitées en raison de leurs fonctions à gérer l’enrôlement de la personne concernée, la suppression ou la modification de son profil d’accès, ou à assurer la maintenance du dispositif.

Seules peuvent avoir accès aux données générées par le dispositif biométrique les personnes qui sont limitativement habilitées en raison de leurs fonctions à assurer la sécurité des locaux, matériels et applicatifs concernés, ou de la sécurité du dispositif biométrique lui-même.

Article 7

Choix des modalités de détention du gabarit

Le présent règlement distingue trois types de détention de gabarits biométriques, selon le degré de maîtrise exercé par les personnes concernées sur le support de conservation :

En l’absence de circonstances particulières mentionnées aux alinéas suivants, les traitements de données biométriques mis en place par des employeurs publics ou privés ne peuvent utiliser que des gabarits sous maîtrise des personnes concernées (type 1).

Il ne peut être fait recours aux gabarits sous maîtrise partagée (type 2) que s’il est avéré que la détention d’un support dédié au seul stockage du gabarit (type 1) n’est pas adaptée à l’architecture et au contexte d’exploitation du dispositif.

De la même manière, il ne peut être fait recours aux gabarits non maîtrisés par les personnes (type 3) que s’il est avéré que la mise en place des gabarits sous maîtrise partagée (type 2) ou des gabarits sous maîtrise des personnes concernées (type 1) n’est pas adapté au vu de l’architecture et du contexte d’exploitation du dispositif et seulement si les éléments de sécurité prévus à l’article 10 sont complétés par l’analyse des risques sur les droits et libertés des personnes prévue à l’article 11.

La décision de recourir aux gabarits de type 2 ou 3 doit être documentée de manière détaillée en justifiant le choix effectué.

Article 8

Modalités et durées de conservation

Les enregistrements bruts (photo, enregistrement audio, etc.) de la caractéristique biométrique ne peuvent être traités que le temps nécessaire au calcul du ou des gabarits : elles ne peuvent donc pas être conservées.

Les données biométriques dérivées ne peuvent être conservées que sous forme de gabarits chiffrés ne permettant pas de recalculer la caractéristique biométrique d’origine.

Elles ne peuvent être conservées que pendant la durée d’habilitation de la personne concernée, et doivent être supprimées en cas de retrait des habilitations ou en cas de cessation des fonctions de la personne concernée dans l’organisme employeur.

Les données de journalisation des accès produites par le dispositif biométrique ne peuvent être conservées en base active pendant plus de six mois glissants à compter de leur date d’enregistrement. Cela ne fait toutefois pas obstacle à leur conservation sous forme d’archives intermédiaires distinctes de la base active, avec accès restreint, dans la mesure où il existerait des dispositions législatives ou réglementaires spécifiques, ou encore si ces données présenteraient un intérêt en cas de contentieux, justifiant de les conserver le temps des règles de prescription/forclusion applicables.

Les données d’identification, autres que les gabarits biométriques, doivent être supprimées au plus tard dans les six mois qui suivent la date du retrait des habilitations ou celle de la cessation des fonctions de la personne concernée au sein ou pour le compte de la personne physique ou morale ayant la qualité de l’employeur.

Pour rappel, cette suppression n’impacte pas les autres traitements mis en place par l’employeur pour des finalités différentes et portant sur des données similaires.

Article 9

Information des personnes

Sans préjudice de ses obligations relatives à l’information et à la consultation des instances représentatives du personnel, l’employeur fournit aux personnes concernées l’information individuelle obligatoire prévue par les articles 12 et suivants du RGPD.

Cette information doit figurer dans une notice écrite remise par le responsable de traitement à chaque personne concernée préalablement à l’enrôlement des données biométriques de ce dernier.

Article 10

Sécurité des données

Le responsable du traitement prend toutes précautions utiles, au regard de la nature des données et des risques que le traitement fait peser sur les personnes concernées et leurs droits, pour préserver la disponibilité, l’intégrité et la confidentialité des données traitées.

A cette fin, le responsable de traitement adopte au minimum les mesures suivantes ou des mesures dont il démontre l’équivalence :

Mesures relatives aux données :

Mesures relatives à l’organisation :

Mesures relatives aux matériels :

Mesures relatives aux logiciels :

Mesures relatives aux canaux informatiques :

Le responsable de traitement doit régulièrement, et au moins tous les ans, contrôler la bonne mise en œuvre de ces mesures. Il doit de plus effectuer une veille lui permettant d’agir dans un délai raisonnable en cas de modification par la CNIL de cette liste de mesures.

Article 11

Analyse d’impact relative à la protection des données

Conformément à la délibération n°2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise, les traitements régis par le présent règlement type sont considérés comme susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées.

Par conséquent, une analyse d’impact relative à la protection des données doit être effectuée par le responsable du traitement préalablement à leur mise en œuvre, et ce quel que soit le type (1, 2 ou 3) de détention du gabarit biométrique choisi, conformément à l’article 35 du RGPD.

Le responsable de traitement devra donc à la fois respecter les dispositions du présent règlement type, documenter et tenir à disposition de la CNIL les justifications qui y sont demandées et procéder à une évaluation des risques sur les droits et libertés des personnes aux fins de les identifier et, le cas échéant, de les traiter.

Le choix de recourir aux modalités de détention du gabarit biométrique garantissant une moindre maîtrise de la personne, en particulier du type 3, doit faire l’objet d’une documentation particulièrement circonstanciée.

Le responsable de traitement illustre les risques résiduels et les estime en termes de gravité et de vraisemblance. Il doit mettre à jour régulièrement, au moins tous les trois ans, cette évaluation des risques ainsi que les mesures de sécurité supplémentaires qui en découleraient.

La présente délibération sera publiée au Journal officiel de la République française.

La présidente,
I. FALQUE-PIERROTIN 

Source Légifrance