Le contrôle d’accès biométrique sur les lieux de travail

Le contrôle d’accès biométrique sur les lieux de travail

C.N.I.L.

Commission Nationale de l'Informatique et des Libertés

 

 

Le contrôle d’accès biométrique sur les lieux de travail

 

 

Les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et par le nouveau règlement européen sur la protection des données R.G.P.D. Le 28 mars 2019, la CNIL a publié un règlement type qui précise les obligations des organismes souhaitant se doter de dispositifs biométriques à des fins de contrôle d’accès aux locaux, aux applications et aux outils de travail.

www.cnil.fr/sites/default/files/atoms/files/deliberation-2019-001-10-01-2019-reglement-type-controle-dacces-biometrique.pdf

 

COMMENT PROCEDER POUR SE METTRE EN CONFORMITE ?

www.cnil.fr/fr/le-controle-dacces-biometrique-sur-les-lieux-de-travail

Extrait du site de la CNIL

 

 

La mise en conformité s’effectue en trois étapes :

 

Étape 1           Justifiée le besoin d’un dispositif biométrique

 

Cette étape permet de justifié de l’utilité de lecteurs biométriques plutôt qu’un lecteur de badges par exemple. La sensibilité des locaux à protégés et ou le risque à la personne doit être ici démontrés.

 

Étape 2           Garantir la maîtrise du gabarit

 

Le présent règlement distingue trois types de détention de gabarits biométriques, selon le degré de maîtrise exercé par les personnes concernées sur le support de conservation.

Type 1 : les gabarits sous maîtrise des personnes concernées sont ceux dont le seul support de stockage durable est détenu par la personne elle-même, par exemple sous forme de badge ou de carte à puce ;

 

Type 2 : les gabarits sous maîtrise partagée sont ceux dont le support de stockage durable est maîtrisé par l’employeur ou ses préposés, mais qui sont conservés sous une forme les rendant inexploitables sans l’utilisation d’un secret détenu par la personne concernée ;

 

Type 3 : les gabarits non maîtrisés par les personnes concernées sont ceux dont le support de stockage durable est maîtrisé par l’employeur ou ses préposés sous une forme exploitable ne nécessitant ni badge contenant le gabarit ni utilisation d’un secret maîtrisé par la personne concernée.

 

Dans nos offres, nous privilégions les solutions biométriques de type 1 où les données biométriques sont stockées sur un badge utilisateur individuel (type Mifare ou DESFire).

 

Étape 3           Justifier et documenter le choix effectués

 

  • Effectuer une analyse d’impact relative à la protection des données ;
  • Préciser et justifier le choix des caractéristiques du dispositif, ainsi que la nécessité de recourir au traitement des données biométriques ;
  • Respecter l’ensemble des dispositions du règlement type ;
  • Le cas échéant, informer ou consulter les instances représentatives du personnel.

 

Les textes de loi évoluent souvent rapidement, nous vous conseillons de vous tenir informé directement auprès de la CNIL. Plus d’informations sur www.cnil.fr.