La biométrie en entreprise recadrée

Publié le 15/10/2019

Depuis l’entrée en application du RGPD (règlement général sur la protection des données), le régime juridique des données biométriques s’est renforcé. Dans les entreprises, l’installation de systèmes de contrôle par ce biais répond désormais à des règles drastiques.

C’est devenu un geste courant de la vie quotidienne : déverrouiller son smartphone ou sa voiture grâce à la reconnaissance digitale ou vocale. Dans les entreprises aussi, les systèmes de contrôle par données biométriques (c’est-à-dire des données reposant sur des caractéristiques physiques ou biologiques des individus) se développent. Ils peuvent être mis en place pour contrôler l’accès à des locaux, à des ordinateurs ou à des applications informatiques, et uniquement pour ces finalités-là.

La vigilance autour de ces systèmes a toujours été la norme, et la Cnil (Commission nationale de l’informatique et des libertés) veillait au grain. Elle est notamment intervenue en 2018 pour sanctionner une entreprise spécialisée dans la télésurveillance d’ascenseurs et de parkings qui avait mis en place un dispositif de pointage biométrique par recueil d’empreinte digitale, en vue de contrôler les horaires des salariés (lire le commentaire du service juridique de la CFDT).

Mais l’entrée en vigueur du RGPD (règlement général sur la protection des données) en mai 2018 a donné un tour de vis supplémentaire ainsi qu’un cadre encore plus protecteur. En effet, le RGPD a inscrit les données biométriques dans la catégorie des « données sensibles », au même titre que les données de santé, les opinions politiques ou religieuses ou l’orientation sexuelle, dont le traitement est interdit, sauf exception spécifiquement encadrée, ce qui n’était pas le cas avant mai 2018.

Pour répondre à ces nouvelles exigences, et que cela soit inscrit en droit français, la loi Informatique et Libertés (entrée en vigueur en juin dernier) a été modifiée. Désormais, les dispositifs de contrôle d’accès biométrique doivent, pour pouvoir être mis en place, être conformes à un règlement type élaboré par la Cnil, intitulé « biométrie sur les lieux de travail ».

si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles, l’installation de système biométrique ne peut se justifier

Les obligations du règlement type de la Cnil

Parmi les principales obligations : celle, pour l’employeur, de justifier et documenter le choix d’un dispositif biométrique, en expliquant pourquoi le recours à d’autres mesures de protection (badges, mots de passe, etc.) serait insuffisant compte tenu du niveau de sécurité exigé. « Il est clair que la mise en place d’un dispositif de reconnaissance biométrique est considérée par la Cnil comme un recours à une technologie particulière, dont la pertinence doit être dûment justifiée », explique-t-on à la Cnil. « Par exemple, si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles, l’installation de système biométrique ne peut se justifier. »

Le règlement type précise également les obligations à respecter quant aux données autorisées, aux durées de conservation de ces informations ou aux personnes pouvant avoir accès aux données biométriques.
Il oblige en outre l’organisme à respecter un cahier des charges rigoureux en ce qui concerne les mesures de sécurité organisationnelles et techniques. Bon à savoir : la Cnil a édité sur son site une aide pratique sous forme de FAQ.

Droits des salariés ou des agents

Avant d’installer un dispositif biométrique dans son entreprise, l’employeur doit consulter le comité social et économique. Il doit également informer individuellement et par écrit chaque salarié ou agent concerné avant de recueillir leurs données biométriques. S’il n’y a pas d’obligation à demander leur consentement (en tout état de cause, le lien hiérarchique et de subordination avec l’employeur rend inopérante la notion de « consentement libre »), salariés et agents pourraient être en droit de refuser d’utiliser le dispositif biométrique, « en faisant jouer leur droit d’opposition, sous certaines conditions. Ce droit est précisé dans l’article 21 du RGPD »*. On soulignera aussi que le système d’authentification biométrique ne peut être basé que sur des caractéristiques morphologiques des salariés. Il est interdit de mettre en place un système exigeant un prélèvement biologique comme le sang ou la salive.

 

*Le chapitre sur le droit d’opposition du RGPD est accessible sur le site www.cnil.fr.

 

epirat@cfdt.fr

©Romain Beurrier HansLucas