La CNIL a publié le 28 mars 2019 son premier règlement type relatif à la « biométrie sur les lieux de travail ».

L’entrée en vigueur du RGPD a modifié le régime juridique des traitements portant sur les données biométriques, qualifiant ces données de données sensibles. Prenant en compte ces modifications, le législateur a modifié la loi informatique et libertés imposant désormais que de tels traitements peuvent être mis en œuvre à condition d’être conformes à un règlement type élaboré par la CNIL.

Le règlement type est juridiquement contraignant pour les organismes soumis, contrairement aux autres outils normatifs de la CNIL, comme par exemple, les NS. De ce fait, tout organisme souhaitant mettre en place un dispositif biométrique doit le respecter pour mettre en œuvre un tel traitement.

La biométrie se définie comme « la technique qui permet d’associer à une identité une personne voulant procéder à une action, grâce à la reconnaissance automatique d’une ou de plusieurs caractéristiques physiques et comportementales de cette personne préalablement enregistrées (empreintes digitales, visage, voix, etc.) »

Le règlement type relatif à la biométrie sur les lieux de travail s’applique à toute utilisation des données biométriques imposée par un employeur de droit public ou privé à son personnel au sens large (employés, stagiaires, salariés intérimaires etc.) pour contrôler les accès aux locaux, aux applications et aux outils professionnels.

Ainsi, le responsable de ce traitement est l’entité juridique qui décide de sa mise en place. Il importe peu que la conception et l’installation d’un tel système soit confiée ou non à un prestataire tiers, qualifié alors de sous-traitant.

Afin de mettre en place un tel dispositif, la CNIL impose le suivi de trois étapes :

  • Justifier le besoin d’un dispositif biométrique en démontrant la nécessité de recourir à un traitement de données biométriques plutôt qu’à d’autres dispositifs d’identifications ou mesures organisationnelles moins intrusives. Il est donc fondamental de disposer d’un document démontrant cette nécessité, complété d’un PIA.
  • Privilégier le stockage du gabarit (i-e le résultat du traitement de l’enregistrement brut (photo, enregistrement audio, etc.) de la caractéristique biométrique par un algorithme rendant impossible la reconstitution de celle-ci) sous maitrise exclusive de la personne concernée ;
  • Documenter le choix d’un tel dispositif et de ses caractéristiques et consulter préalablement les instances représentatives du personnel conformément à la loi.

Enfin, la mise en place d’un tel dispositif s’accompagne de la mise en œuvre d’importantes mesures de sécurité.

En pratique, il convient également de faire évoluer le registre des traitements que doit tenir la société et, idéalement de finaliser une procédure propre à la biométrie.