CNIL et biométrie sur le lieu de travail : la vigilance s’impose !

Le règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018 a renforcé le régime juridique des traitements portant sur les données biométriques, entendues comme "les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques".

La mise en place de ce régime juridique renforcé se justifie par la nature sensible des données biométriques, lesquelles reposent sur une réalité biologique intangible et permettent donc d’identifier un individu pour une durée théoriquement illimitée.

Les traitements de données biométriques sont désormais interdits par principe, sous réserve de certaines exceptions et à condition d’être nécessaires au contrôle de l’accès au lieu de travail et aux appareils et applications professionnels.

Afin de respecter le RGPD, le législateur français a modifié la loi "Informatique et libertés", par la loi n° 2018-493 du 20 juin 2018. La loi initiale autorisait déjà la mise en place de dispositifs de contrôle d’accès biométriques, mais leur validité est désormais subordonnée à l’adoption d’un règlement type élaboré par la Commission nationale de l'informatique et des libertés (CNIL).

La nouvelle loi dispose que ce règlement type est établi "en concertation avec les organismes publics et privés représentatifs des acteurs concernés", raison pour laquelle la CNIL a ouvert une consultation publique sur le projet de règlement dit "Biométrie au travail". Celle-ci ayant pris fin le 1^er octobre 2018, un règlement définitif devrait être publié au journal officiel sous peu.

A ce jour, le projet de règlement prévoit notamment l’obligation pour le responsable du traitement de justifier rigoureusement de la nécessité de recourir à un traitement biométrique, ainsi que les modalités et les durées de conservation desdites données.

Selon ce projet, la détention par le salarié du support de stockage de ses données biométriques est le principe. Concrètement, le système "classique" du badge serait maintenu, alors que les données biométriques sont justement censées représenter une alternative plus fiable de contrôle d’accès.

Les principes exposés dans ce projet de règlement devraient être sensiblement maintenus dans sa version définitive. Toutefois, seule cette dernière pourra utilement être mise en œuvre au sein des entreprises.

A propos de notre cabinet d'avocats

Expertise : Droit de la propriété intellectuelle

Publication : Lettre Propriétés intellectuelles