Délibération n°2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail

JO du 28 mars 2019

Cette délibération de la Commission Nationale Informatique et Libertés (CNIL) est prise en application de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles qui a confié à la commission une mission nouvelle : établir et publier, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, « des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ». 

Dans ce cadre, ce texte adopte un règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail. 

Ce règlement fixe des exigences spécifiques applicables aux traitements de données biométriques nécessaires au contrôle par les employeurs publics ou privés de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires.

Le texte aborde successivement :

* les finalités du traitement ;
* la justification du recours à un traitement de données biométriques ;
* les données personnelles collectées et traitées ;
* les données biométriques ;
* les personnes habilitées à traiter les données ;
* le choix des modalités de détention du gabarit ;
* les modalités et durées de conservation ;
* l’information des personnes ;
* la sécurité des données ;
* l’analyse d’impact relative à la protection des données.
Sur ce dernier point, le texte précise que les traitements régis par le règlement type sont considérés comme susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées. Une analyse d’impact relative à la protection des données doit donc être effectuée par le responsable du traitement préalablement à leur mise en œuvre (et ce quel que soit le type de détention du gabarit biométrique choisi). Le responsable de traitement devra donc à la fois respecter les dispositions du présent règlement type, documenter et tenir à disposition de la CNIL les justifications qui y sont demandées et procéder à une évaluation des risques sur les droits et libertés des personnes aux fins de les identifier et, le cas échéant, de les traiter.