Il y a longtemps que l’authentification par empreinte digitale ou que la reconnaissance faciale ne sont plus cantonnées dans l’imaginaire collectif aux films d’espionnage. Largement démocratisés, ces procédés permettent de limiter les accès à une seule et unique personne sur la base de ses caractéristiques physiques, physiologiques ou comportementales.
Cependant ces solutions de sécurité largement utilisées sur les lieux de travail, ne sont pas dépourvues de vulnérabilités.

L’unicité des caractéristiques physiques et comportementales de la personne concernée requiert la mise en place de garanties de sécurité renforcées car une violation de confidentialité porterait définitivement atteinte à ses droits et libertés fondamentaux : on ne change pas d’empreinte digitale comme on change de mot de passe.

Les données biométriques sont donc considérées comme des données sensibles au sens du Règlement général sur la protection des données (RGPD) et à ce titre elles bénéficient d’un régime spécifique.

Par principe le RGPD interdit la mise en place de traitements portant sur des données biométriques. A titre d’exception, les Etats membres peuvent légiférer sur les traitements de données biométriques.

Ainsi, en France, la loi du 6 janvier 1978 modifiée dite loi « Informatique et Libertés » autorise la mise en place de dispositifs de contrôle biométrique sur les lieux de travail, à condition que ces derniers soient conformes à un règlement-type élaboré par la Commission Nationale de l’Informatique et des Libertés (CNIL).

Le pouvoir règlementaire de la CNIL en matière de biométrie.

Début 2019, la CNIL a usé pour la première fois de son nouveau pouvoir règlementaire. Depuis leur entrée en vigueur le 29 mars 2019, les dispositions du règlement-type sont désormais obligatoires pour tout organisme doté d’un dispositif d’identification biométrique.
Ce règlement s’inscrit dans la continuité des autorisations uniques AU-052 et AU-053 adoptées par la CNIL et vient renforcer les obligations du responsable de traitement. Une bonne occasion donc pour revenir sur les principales règles applicables à la biométrie sur le lieu de travail à des fins de contrôle.

Le règlement-type préconise la maîtrise totale du gabarit biométrique par la personne concernée.

Le champ du règlement-type se limite aux traitements relatifs aux accès aux locaux, aux outils professionnels ou applications ; il exclut tout dispositif nécessitant un prélèvement biologique qui par nature serait trop intrusif.
Les dispositifs autorisés comprennent une phase d’enrôlement et une phase d’authentification.

Lors de la première phase, les données biométriques sont mémorisées dans un gabarit à l’aide d’un capteur. Lors de la phase d’authentification il s’agit de s’assurer que la donnée présentée matche bien avec l’enregistrement dans le gabarit biométrique.

Toutefois, ces dispositifs ne sont pas invulnérables face aux attaques malveillantes, que ce soit à des fins de fausse identification par l’introduction d’une donnée falsifiée, une photo par exemple, ou de refus d’authentification dans le cadre d’une attaque de type Denial of Service.
C’est pourquoi le règlement-type préconise que la personne garde la maitrise physique de son gabarit, sous forme de badge par exemple, qu’elle présentera au système avant de s’identifier. Ce système de stockage, de type 1, limite le risque d’accès non-autorisé et fournit le niveau de sécurité le plus élevé puisque la personne est la seule à disposer du gabarit et de la donnée biométrique qui lui est intrinsèque.

S’il s’avère que, pour des circonstances exceptionnelles, un stockage de type 1 ne peut être mis en place, l’accès au gabarit peut nécessiter l’entrée d’un code ou secret connu de la personne seule ; il s’agit alors d’un stockage de type 2.

Le stockage de type 3 quant à lui pourra être mis en place pour des situations nécessitant un accès rapide à des environnements critiques. Dans ce cas, l’ensemble des gabarits sera centralisé dans une base de données sans que la personne concernée en ait la maitrise. En raison des risques élevés liés à cette forme de stockage, le responsable de traitement devra en justifier la nécessité.

L’obligation de tenir une documentation argumentée pour pouvoir en rendre compte (accountability).

Le choix du type de stockage doit être documenté et argumenté par écrit notamment concernant la nécessité et la proportionnalité de l’usage de dispositifs biométriques. Ces éléments viendront alimenter l’analyse d’impact.

De manière générale, les mesures moins intrusives pour la vie privée des personnes concernées, comme l’usage d’un badge ou d’un code, devront être privilégiées.
Les personnes concernées doivent également être informées individuellement par le responsable de traitement via une notice écrite, en amont de l’enregistrement des données et de la création du gabarit.

Concernant l’installation et la gestion du dispositif biométrique, le responsable de traitement doit s’assurer que le prestataire agissant en son nom et pour son compte met en œuvre toutes les mesures techniques et organisationnelles pour assurer la confidentialité et la sécurité de telles données. A l’instar de tout contrat de sous-traitance portant sur des données personnelles, il conviendra d’encadrer les obligations du prestataire au travers de clauses contractuelles relatives à la protection des données.
L’ensemble de cette documentation devra être présenté à la CNIL en cas de contrôle.

Le caractère obligatoire d’une analyse d’impact sur la protection des données et des mesures de sécurité subséquentes.

Contrairement aux autorisations uniques qui n’imposaient pas d’analyse d’impact pour tous les types de stockages, le règlement-type étend cette obligation à l’ensemble des traitements relatifs à la biométrie au travail. Cette nouvelle obligation est conforme aux dispositions de la délibération du 11 octobre 2018 portant adoption de la liste des types d’opération de traitement pour lesquelles une analyse d’impact est requise.

L’analyse d’impact doit être menée par le responsable de traitement avant la mise en œuvre du traitement et donc avant toute utilisation de la solution biométrique. Elle doit comprendre une description des traitements de données personnelles tant dans ses aspects techniques que juridiques, une évaluation de la nécessité et de la proportionnalité, une description des mesures de sécurité et une analyse des risques sur les droits et libertés des personnes concernées.

Toujours dans une logique d’harmonisation avec le RGPD, le règlement-type vient compléter les mesures de sécurité que les responsables de traitement doivent mettre en place a minima et qui étaient décrites dans les autorisations uniques AU-52 et AU-53. Ces mesures devront être contrôlées au moins une fois par an. Il s’agit à la fois des mesures techniques de sécurité concernant l’ensemble des composants matériels et logiciels du dispositif biométrique, la protection des données en elles-mêmes et des canaux informatiques mais aussi des mesures de sécurité organisationnelles.

Que risque le chef d’entreprise en cas de non-conformité du dispositif biométrique utilisé sur le lieu de travail ?

La dernière sanction relative à la biométrie prononcée par la CNIL n’était que de 10.000 € mais depuis l’entrée en application du RGPD, le plafond des sanctions est désormais de 20 millions d’euros ou 4% du CA de l’organisation.

Rappelons enfin que les autorités de protection des données ont déjà attiré l’attention des employeurs sur la sensibilité des traitements de données personnelles de leurs salariés et on peut imaginer qu’un manquement au règlement-type serait sévèrement puni.

Lorraine Paquin Consultante Protection des données personnelles - TNP Consultants