La CNIL et la Biométrie

CNIL, Ce qu'il faut savoir

Commission Nationale de l'Informatique et des Libertés 

Créée par la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la CNIL est une autorité administrative indépendante chargée de veiller à la protection des données personnelles. 

Se connecter à la CNIL.

 

 

CNIL, Ce qu'il faut savoir

Contrôle d'accès et biométrie : Nouvelle décision de la CNIL

C.N.I.L.

DEPUIS MARS 2019

 

Commission Nationale de l'Informatique et des Libertés

 

 

Le contrôle d’accès biométrique sur les lieux de travail

 

 

Les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et par le nouveau règlement européen sur la protection des données R.G.P.D. Le 28 mars 2019, la CNIL a publié un règlement type qui précise les obligations des organismes souhaitant se doter de dispositifs biométriques à des fins de contrôle d’accès aux locaux, aux applications et aux outils de travail.

www.cnil.fr/sites/default/files/atoms/files/deliberation-2019-001-10-01-2019-reglement-type-controle-dacces-biometrique.pdf

 

 

Comment procéder pour se mettre en conformité ?

www.cnil.fr/fr/le-controle-dacces-biometrique-sur-les-lieux-de-travail

 

Extrait du site de la CNIL :

 

 

La mise en conformité s’effectue en trois étapes :

 

Étape 1           Justifiée le besoin d’un dispositif biométrique

 

Cette étape permet de justifié de l’utilité de lecteurs biométriques plutôt qu’un lecteur de badges par exemple. La sensibilité des locaux à protégés et ou le risque à la personne doit être ici démontrés.

 

Étape 2           Garantir la maîtrise du gabarit

 

Le présent règlement distingue trois types de détention de gabarits biométriques, selon le degré de maîtrise exercé par les personnes concernées sur le support de conservation.

Type 1 : les gabarits sous maîtrise des personnes concernées sont ceux dont le seul support de stockage durable est détenu par la personne elle-même, par exemple sous forme de badge ou de carte à puce ;

 

Type 2 : les gabarits sous maîtrise partagée sont ceux dont le support de stockage durable est maîtrisé par l’employeur ou ses préposés, mais qui sont conservés sous une forme les rendant inexploitables sans l’utilisation d’un secret détenu par la personne concernée ;

 

Type 3 : les gabarits non maîtrisés par les personnes concernées sont ceux dont le support de stockage durable est maîtrisé par l’employeur ou ses préposés sous une forme exploitable ne nécessitant ni badge contenant le gabarit ni utilisation d’un secret maîtrisé par la personne concernée.

 

Dans nos offres, nous privilégions les solutions biométriques de type 1 où les données biométriques sont stockées sur un badge utilisateur individuel (type Mifare ou DESFire).

 

Étape 3           Justifier et documenter le choix effectués

 

  • Effectuer une analyse d’impact relative à la protection des données ;
  • Préciser et justifier le choix des caractéristiques du dispositif, ainsi que la nécessité de recourir au traitement des données biométriques ;
  • Respecter l’ensemble des dispositions du règlement type ;
  • Le cas échéant, informer ou consulter les instances représentatives du personnel.

 

Les textes de loi évoluent souvent rapidement, nous vous conseillons de vous tenir informé directement auprès de la CNIL. Plus d’informations sur www.cnil.fr.

 

 

Que disait la CNIL avant le RGPD sur la biométrie

Qu'est-ce qu'une autorisation unique ?

Certains fichiers ou traitements de données personnelles sensibles ou à risques, qui visent une même finalité et des catégories de données et de destinataires identiques, sont autorisés par la CNIL au travers de décisions-cadre, appelées autorisations uniques. Si votre traitement est conforme à l’une de ces autorisations vous pouvez effectuer une déclaration de conformité.

La CNIL a adopté des "Autorisations Uniques" afin de faciliter les déclarations de l'utilisation de certains lecteurs biométriques. 

 

Important

Tous les traitements comportant des données biométriques doivent faire l’objet d’une autorisation préalable de la CNIL. Aucun dispositif biométrique n’a fait l’objet d’un «label CNIL» ou d’un agrément à priori. 

Il est important de lire avec précaution l’autorisation unique avant de s’y conformer. Il vous appartient d’être en conformité avec l’intégralité des points mentionnés. 

 

Déclaration en ligne

Si le traitement est strictement conforme à l’une de ces autorisations uniques, la "déclaration simplifiée" peut être réalisée en ligne sur le site de la CNIL. 

Se connecter à la CNIL : Déclaration simplifiée.

 


 

Contrôle d'accès et biométrie : Autorisation unique AU-052

 

Délibération n° 2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique (AU-052)

 

Voir le texte complet sur Legifrance : Autorisation unique AU052

 


Contrôle d'accès et biométrie : Autorisation unique AU-053

Délibération n° 2016-187 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail, reposant sur une conservation des gabarits en base par le responsable du traitement (AU-053)

 

Voir le texte complet sur Legifrance : Autorisation unique AU053

 


Biométrie : accès aux cantines scolaires : Autorisation unique AU-009

 

Délibération n°2006-103 du 27 avril 2006 portant autorisation unique de mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance du contour de la main et ayant pour finalité l'accès au restaurant scolaire.
 

Voir le texte complet sur Legifrance : Autorisation unique AU009

 


 

Contrôle d'accès et gestion du temps par badges d'identification : Norme Simplifié NS-042

Délibération n°02-001 du 08 janvier 2002 concernant les traitements automatisés d'informations nominatives relatifs mis en oeuvre sur les lieux de travail pour la gestion des contrôles d'accès aux locaux, des horaires et de la restauration
 
Voir le texte complet sur Legifrance :Norme Simplifié NS042
>

Que disait la CNIL avant le 30 juin 2016 sur la biométrie

Le 30 juin 2016, la CNIL a adopté deux  autorisations uniques qui encadrent désormais l’ensemble des dispositifs de contrôle d’accès biométrique sur les lieux de travail, quels que soient les types de biométries utilisées. Elles abrogent les autorisations uniques AU-007, AU-008, AU-019, AU-027.

 


 

Autorisation Unique AU-007

Délibération n° 2012-322 du 20 septembre 2012 portant autorisation unique de mise en œuvre de traitements reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la restauration sur les lieux de travail (décision d'autorisation unique n° AU-007) ...

 

Plus d'information sur L'autorisation Unique de la CNIL AU-007

 

 


 

Autorisation Unique AU-008

L’autorisation unique n° AU-008 concerne les dispositifs biométriques utilisant la reconnaissance de
l’empreinte digitale pour des systèmes de contrôle d’accès aux locaux sur les lieux de travail :

 

Plus d'information sur L'autorisation Unique de la CNIL AU-008

 


 

Autorisation Unique AU-019

Délibération n° 2009-316 du 7 mai 2009 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail 

Plus d'information sur L'autorisation Unique de la CNIL AU-019