Biométrie et la CNIL. déclaration simplifié pour la biométrie auprès de la CNIL pour lecteur d'empreinte AU008 ABIOVA, Biométrie pour la gestion du temps, pointeuse et la gestion des accès
CNIL Informations

Informations générales
Formation CNIL
Décisions de la CNIL sur la biométrie


CNIL technologies

Biométrie Main
Biométrie empreinte
Biométrie veineuse


CNIL Autorisarions Uniques


AU009 :
Biométrie Main pour la gestion de cantine


AU052 :
Biométrie avec maitrise par la personne concernée sur son gabarit


AU053 :
Biométrie avec gabarits en base


NS042 :
Badge pour le controle d'accès et gestion horaires





Texte abrogé le 27/09/16 et remplacé par les Autorisation Unique AU052 et AU053
AU052 :
Biométrie avec maitrise par la personne concernée sur son gabarit


AU053 :
Biométrie avec gabarits en base



Biométrie : empreinte digitale sur le lieu de travail (Autorisation unique n° 8)

Thèmes

Gestion du personnel, ressources humaines

Résumé

L’autorisation unique n°8 concerne les dispositifs biométriques utilisant la reconnaissance de l’empreinte digitale pour des systèmes de contrôle d’accès aux locaux sur les lieux de travail :

  • dès lors que le gabarit de l’empreinte digitale est exclusivement enregistrée sur un support individuel. Les données enregistrées sont limitativement énumérées par l’autorisation unique ;
  • les destinataires de ces données sont les personnes habilitées du service du personnel et celles habilitées du service gérant la sécurité des locaux ;
  • les durées de conservation sont également définies de façon très précise et ne peuvent excéder 5 ans après le départ de l’employé, 3 mois s’agissant du déplacement des personnes et des visiteurs ;
  • les représentants du personnel doivent être consultés préalablement à la mise en œuvre de tels dispositifs et les employés doivent être individuellement informés par la diffusion d’une note explicative.

Responsable du traitement

  • Tout organisme privé ; 
  • Organismes publics (sauf l'Etat et les établissements accueillant des mineurs).

Objectif(s) poursuivi(s) [Finalité(s)]

Ces traitements peuvent uniquement avoir pour finalité : le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de l'organisme faisant l'objet d'une restriction de circulation, à l'exclusion de tout contrôle des horaires des employés.

  • Le dispositif de reconnaissance des empreintes digitales doit présenter les caractéristiques suivantes : seul le gabarit de l'empreinte digitale, clé biométrique résultat du traitement des mesures par un algorithme, est enregistré sur le support individuel et non une image ou une photographie de l'empreinte digitale ;
  • on entend par support individuel tout support de stockage dont la personne concernée a un contrôle exclusif, tel qu'une carte à puce ou magnétique ; 
  • le gabarit de l'empreinte digitale de la personne concernée est exclusivement enregistré sur un support individuel détenu par elle seule et dont le contenu ne peut être lu à son insu ;
  • lors de l'enrôlement, un enregistrement temporaire du gabarit de l'empreinte digitale peut être effectué sur le poste informatique servant à l'enrôlement pour les stricts besoins de son inscription dans la mémoire du support individuel et sous réserve qu'il soit effacé à l'issue de cette phase qui ne saurait excéder quelques secondes ; 
  • le contrôle d'accès s'effectue par une comparaison entre le doigt apposé sur le lecteur et le gabarit de l'empreinte digitale enregistré sur le support individuel sans qu'aucune copie de ce gabarit, même temporaire, ne soit effectuée ;
  • à l'exclusion des gabarits des empreintes digitales, certaines données nécessaires à l'identification de la personne et à la réalisation des contrôles relatifs à la validité du badge peuvent être enregistrées dans un serveur dédié au contrôle des accès.

Utilisation(s) exclue(s)

  • Traitement de données concernant des mineurs au sein d'un établissement (ayant mission de service public) accueillant des mineurs ;
  • contrôle horaire des salariés.

Données concernées

  • identité : nom, prénom, photographie, numéro de carte et gabarit de l’empreinte digitale (et uniquement le gabarit) ;
  • numéro de matricule interne, corps ou service d’appartenance, grade ;
  • déplacement des personnes : porte utilisée, zones et plages horaires d’accès autorisées, date et heure d’entrée et de sortie ;
  • en cas d’accès à un parking : numéro d’immatriculation du véhicule, numéro de place de stationnement ;

S’agissant des visiteurs, outre les catégories de données relatives à l’identité et au déplacement des personnes, l’indication de la société d’appartenance et du nom de l’employé accueillant le visiteur peuvent être traitées.

Données exclues

Image ou photographie des empreintes digitales.

Durée de conservation

La durée de conservation du gabarit de l'empreinte digitale est égale au temps pendant lequel la personne concernée est habilitée à pénétrer dans les locaux ou les zones limitativement identifiées de l'organisme faisant l'objet d'une restriction de circulation. Les catégories de données relatives à l'identité, à la vie professionnelle et à la gestion du parking peuvent, au maximum, être conservées 5 ans après le départ de l'employé. Les éléments relatifs aux déplacements des personnes ne doivent pas être conservés plus de trois mois. S'agissant des visiteurs, les catégories de données relatives à l'identité, à la vie professionnelle et à la gestion du parking peuvent, au maximum, être conservés trois mois à compter de la date de la dernière visite.

Destinataires des données

  • les personnes habilitées du service du personnel : identité, vie professionnelle, déplacement des personnes et informations en relation avec la gestion du parking ;
  • les personnes habilitées du service gérant la sécurité des locaux : identité, déplacement des personnes, vie professionnelle et informations en relation avec la gestion du parking. Ces personnes ne peuvent avoir accès au gabarit de l’empreinte digitale que de façon temporaire et pour les stricts besoins de son inscription sur le support individuel ou de sa suppression.

Informations des personnes (droits)

Lors de la collecte des données, le responsable du traitement doit informer les personnes :

de son identité, de la finalité du traitement, du caractère obligatoire ou facultatif des informations qu’il collecte, des destinataires de ces informations, de l’existence de droits pour les personnes fichées et du service auprès duquel les faire valoir, des transmissions envisagées.

Les mentions d’information doivent figurer sur les formulaires utilisés pour collecter les données (cf. article 32 de la loi informatique et libertés ). 

  • information et consultation des instances représentatives du personnel ;
  • information préalable des employés effectuée par remise d'une notice explicative.

Sécurité

Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et, notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.

Les accès individuels au traitement s'effectuent par un identifiant et un mot de passe individuel, régulièrement renouvelé, ou par tout autre moyen d'authentification.

Transfert hors UE

NON

Titre complet

Délibération n°2006-102 du 27/04/2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail.



En savoir plus sur le site de la CNIL...
© 2009 ABIOVA. Tous droits réservés. Tél : +33 (0)1.69.49.61.00 - Fax : +33 (0)1.69.02.54.53 | Mentions légales | Contact | Plan du site | Cookies |
| biométrie | pointeuse | logiciel de gestion des accès | lecteur biométrique | badge biométrique |