RGPD : la Cnil consulte sur la biométrie au travail
Au droit et à l'oeil
Le 04 septembre 2018 à 13h04
4 min
Droit
Droit
La Cnil lance une consultation publique portant sur le futur règlement type relatif à la biométrie au travail. Destiné à assurer la sécurité des systèmes de traitement, ce règlement vient prescrire des mesures spécifiques touchant à ces données sensibles.
Le règlement général sur la protection des données interdit, à son article 9, les traitements portant sur des données dites sensibles.
Ces données sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou encore la vie sexuelle. Le même texte prohibe les traitements relatifs aux données biométriques, du moins ceux calibrés pour identifier une personne physique de manière unique.
Classiquement, le principe connaît des exceptions, en particulier lorsque la personne a consenti à ces traitements, ou comme cela a été rappelé dans l’affaire Disinfo Lab, lorsque les données ont été rendues publiques par la personne concernée.
Le texte européen, applicable depuis le 25 mai 2018, autorise aussi les traitements biométriques nécessaires en matière de droit du travail. Encore faut-il cependant que ce régime soit encadré par la loi.
Interdiction de contrôler le temps de travail par la biométrie
En France, justement, le législateur exige que ces traitements biométriques soient conformes à un règlement type rédigé par la Cnil, élaboré en concertation avec les acteurs privés et publics. Son respect évitera d’avoir à réaliser une étude d’impact.
C’est dans ce contexte que la commission vient de lancer une consultation publique portant sur son projet de règlement type relatif à la biométrie.
Après avoir défini ces données, le texte n’autorise ces traitements que pour deux types de contrôle d’accès : d’une part, à l'entrée et dans les locaux soumis à restriction de circulation, d’autre part, à des appareils et applications informatiques professionnels. Dans tous les cas, l’usage de la biométrie est interdit pour contrôler le temps de travail de l'utilisateur.
Principe de minimisation
Ce recours doit en outre être justifié (principe de nécessité). Quelques exemples sont fournis : « manipulation des machines ou produits dangereux, accès aux fonds ou aux objets de valeur, matériel ou produits faisant l’objet d’une réglementation spécifique – précurseurs des substances psychotropes, produits chimiques pouvant être utilisés pour la fabrication d’armes ».
Quant aux données pouvant être aspirées, la Cnil prévoit là aussi une liste limitative : nom, prénom, photographie et gabarit de la caractéristique biométrique, clé biométrique, numéro d'authentification, numéro de matricule interne, corps ou service d'appartenance, grade, nom de l'employeur...
Cette logique de minimisation se retrouve aussi bien dans les destinataires des données traitées (des personnes habilitées) que dans la durée de conservation (trois mois après le départ de l’intéressé).
La question sensible de la sécurisation
Le gros « morceau » du règlement en cours concerne évidemment la sécurité des données. Touchant à des informations sensibles, le niveau exigé est beaucoup plus documenté. Ces données devront être cloisonnées, chiffrées, et même supprimées en cas d’accès non autorisé, avec obligation d’information des victimes.
On trouve d’autres contraintes, spécifiques aux modalités organisationnelles, aux matériels ou encore aux logiciels qui devront être tenus à jour, en utilisant là aussi des canaux sécurisés. « Les justifications exigées dans le présent règlement, ainsi que l’estimation des risques, ajoute le projet, devront faire l’objet d’une documentation détaillée. À ce titre, elles peuvent figurer au registre qui doit être tenu par le responsable de traitement conformément à l’article 30 du RGPD. »
Quiconque pourra commenter ce règlement type à partir d'un formulaire jusqu’au 1er octobre 2018. Ces pièces seront ensuite soumises à la Cnil, réunie en séance plénière.
RGPD : la Cnil consulte sur la biométrie au travail
-
Interdiction de contrôler le temps de travail par la biométrie
-
Principe de minimisation
-
La question sensible de la sécurisation
Commentaires (1)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 04/09/2018 à 16h16
Je ne comprends pas bien l’objet d’une consultation sur les données biométriques, la CNIL a (c’est loin d’être le cas dans tous les domaines) une doctrine plutôt bien établie sur ce sujet, qui ne me semble pas particulièrement impactée par le RGPD, tandis que la réglementation est plutôt stricte chez nous.
Du moins en terme de priorités, il me semble que donner une véritable définition de la notion de traitement à grande échelle est nettement plus urgent, car objectivement dire qu’on en fait ou non au regard des exemples donnés par le G29 (comité) est pas évident.