Pratique, l’utilisation des dispositifs biométriques comme mesures d’’authentification pour l’accès aux lieux de travail n’est pas sans risques pour les droits et libertés fondamentaux des personnes.
La CNIL répond en imposant un cadre très précis à la mise en oeuvre des traitements recourant à ces techniques dans le contexte : le premier règlement type de la CNIL "Biométrie sur les lieux de travail" a été publié au Journal Officiel le 28 mars dernier.

La CNIL continue à tracer son chemin dans la mise en œuvre du RGPD : pour la première fois, l’autorité de contrôle fait usage du nouvel instrument mis à sa disposition depuis l’entrée en vigueur du RGPD dans le cadre de son pouvoir normatif : le règlement type.

Le règlement type « biométrie sur les lieux de travail », institué par la délibération de la CNIL n°2019-001 du 10 janvier 2019 a été publié au Journal Officiel le 28 mars dernier.

Le règlement type a un caractère contraignant, ce qui signifie que ses dispositions doivent être respectées par tout employeur qui souhaite mettre en place un dispositif de contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail.

Cet article n’a pas pour vocation de faire une présentation exhaustive du texte mais plutôt d’attirer l’attention du lecteur sur ses spécificités. Les références à des articles sont des références au règlement type, sauf référence ponctuelle au RGPD.

Les finalités du traitement ayant recours aux dispositifs biométriques.

Le règlement type a uniquement vocation à s’appliquer au recours à la biométrie pour deux finalités précises (art. 2) auxquelles il importera de se référer dans le registre du traitement, les diverses communications et informations et l’analyse d’impact.

Les deux finalités ont en commun le recours aux dispositifs biométriques à des fins de « contrôle d’accès » exclusivement. Pas question de vérification d’identité notamment.

Le contexte professionnel.

Le règlement entend appréhender la mise en place de ces dispositifs biométriques dans un contexte professionnel uniquement :
 Le titre de la délibération se réfère « aux locaux, aux appareils, et aux applications informatiques sur les lieux de travail » ;
 La définition de l’objet du règlement type (art. 1 al. 1) limite le champ d’application du texte « aux traitements nécessaires au contrôle par les employeurs (…) de l’accès aux lieux de travail, ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, agents (… ) » ;
 L’article 2 al. 2 listant les finalités précise qu’il s’agit des « appareils et applications informatiques professionnels ».

Deux remarques à ce stade :

D’abord, le champ d’application du règlement n’est pas limité à la relation « employeur – salarié ou agent » : le contrôle d’accès aux locaux devrait à notre sens, par essence, concerner toute personne désireuse d’accéder aux locaux professionnels (dans le respect de la politique d’accès de l’employeur). Il est par ailleurs expressément prévu que le règlement type s’applique aux contrôles d’accès aux appareils et applications utilisés dans le cadre des missions confiées aux prestataires du responsable de traitement en particulier.

Ensuite le recours au dispositif biométrique n’est autorisé que pour contrôler l’accès à des lieux devant faire l’objet d’une « restriction de circulation » (art. 2) et justifiant un niveau de protection élevé (à justifier dans l’analyse d’impact qui devra être réalisée par le responsable du traitement préalablement à la mise en œuvre du dispositif). Il est permis d’imaginer qu’une approche par site professionnel ou par application/outil devra être privilégiée.

Les données biométriques.

Les données biométriques sont des données sensibles au sens de l’article 5 du RGPD. Une définition en est donnée à l‘article 4-14) du RGPD.

Seule l’authentification biométrique reposant sur les caractéristiques morphologiques est autorisée en milieu professionnel dans le cadre des traitements mis en œuvre sur la base du règlement type. On peut prendre les empreintes, mesurer l’iris de l’œil mais il n’est jamais permis d’utiliser un prélèvement biologique sur les personnes concernées dans les traitements mis en œuvre dans le cadre du règlement type (article. 5).

Le règlement type opère trois qualifications des données à caractère personnel, ce qui risque d’en rendre l’application délicate. La typologie limitative des données à caractère personnel que peut comporter le dispositif de contrôle d’accès biométrique repose sur deux catégories de données biométriques (art. 4), la liste fermée des personnes habilitées à traiter les données repose sur trois catégories (art. 6), le détail des modalités et durées de conservation des données est finalement précisé en distinguant cette fois quatre catégories de données biométriques (art. 8) !

Le règlement type se réfère à une catégorie spécifique de donnée biométrique : « la donnée biométrique dérivée », dont la définition est donnée à l’article 1 et le régime de conservation spécifique prévu à l’article 8.
La donnée biométrique dérivée clé pour l’application du règlement type est le « gabarit », c’est à dire au sens de l’article 1 « le résultat du traitement de l’enregistrement brut de la caractéristique biométrique par un algorithme rendant impossible la reconstitution de celle-ci ».
Le règlement type opère une classification des gabarits : du moins risqué pour les libertés et droits fondamentaux de la personne concernée (type 1) au plus risqué (type 3), en fonction du degré de maîtrise conservé sur le support de stockage durable du gabarit contenant les données biométriques de la personne. Sauf, pour la personne responsable de traitement, à justifier de « circonstances particulières », c’est le recours au gabarit de type 1 qui est imposé par le texte (art. 7 al. 2), toute utilisation d’un gabarit plus risqué devant être justifiée et documentée.

La notice écrite d’information individuelle de la personne concernée.

Le règlement type complète le RGPD et la loi du 6 janvier 1978, il ne se substitue pas à ces textes, dont les exigences en matière d’information des personnes concernées au moment de la collecte des données restent applicables.

Le règlement type ajoute une modalité d’information spécifique de la personne concernée : en application de l’article 9 al. 2 l’information individuelle obligatoire de la personne dont les données sont collectées/traitées doit figurer dans une « notice écrite » remise par le responsable de traitement à chaque personne concernée préalablement à l’enrôlement des données biométriques de cette dernière.

Un cahier des charges très complet des mesures de sécurité minimales requises par la mise en œuvre du traitement.

L’article 10 établit un cahier des charges très complet des « mesures utiles » que le responsable de traitement doit mettre en œuvre pour préserver la sécurité des données (mesures spécifiquement relatives aux données, à l’organisation, aux matériels, aux logiciels et aux canaux informatiques). Ces mesures constituent un minimum à mettre impérativement en œuvre mais le responsable de traitement peut leur substituer d’autres mesures « dont il démontre l’équivalence » (Art. 10 al. 2), a priori dans l’AIPD.

Le contenu de l’analyse d’impact précisé.

Le règlement type insiste sur la nécessité de documenter l’ensemble des choix et des décisions effectués par le responsable de traitement préalablement à la mise en œuvre de ces dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique sur les lieux de travail (Art. 3 al. 2 in fine, art. 5 al. 2, art. 7 al. 5 et art. 11).

En plus de toute information requise au titre de l’article 35 du RGPD, l’analyse d’impact, (dont le caractère obligatoire pour ce type de traitement est confirmé par l’article 11 al. 2 du règlement type) devra comprendre :
 le détail du contexte spécifique rendant nécessaire une restriction d’accès et un niveau de protection élevé des locaux, outils et applications sur les lieux de travail (qui devront être « limitativement énumérés » selon l’article 2) ;
 une démonstration et un exposé des raisons justifiant « la nécessité de recourir à un traitement de données biométriques en expliquant pourquoi recours à d’autres dispositifs d’identification ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé » (Art. 3 al. 1) ;
 la justification du choix du gabarit biométrique (type 2 plutôt que 1 ou 3 plutôt que 2) : la décision la décision de recourir aux gabarits de type 2 ou 3 doit être documentée de manière détaillée et le choix doit être « justifié » (Art. 7 in fine) et faire l’objet « d’une documentation particulièrement circonstanciée » (art.11 al. 4), particulièrement en ce qui concerne le choix de gabarit de type 3 (non maîtrisé par les personnes concernées) ;
 une illustration des risques résiduels et une estimation en termes de gravité et de vraisemblance (art. 11 al. 5).

L’application du règlement type requiert la mise à jour des analyses d’impact déjà réalisées et la mise en œuvre des mesures de sécurité et d’information des personnes concernées notamment.

Olivier Soulaire Avocat RGPD, ePrivacy & Data