Biométrie sur les lieux de travail : publication d’un règlement type
À la suite d’une consultation publique, la CNIL adopte le règlement type « biométrie sur les lieux de travail ». Celui-ci précise les obligations des employeurs souhaitant recourir aux dispositifs biométriques pour contrôler les accès aux espaces, aux applications et aux outils de travail.
La biométrie est souvent présentée comme une alternative ergonomique et efficace à l’usage de mots de passe trop nombreux et trop longs à retenir. En effet, les données biométriques permettent à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s’affranchir. Pour autant, et précisément pour ces raisons, leur traitement génère des risques importants pour les droits et les libertés des personnes, dans l’hypothèse où ces données seraient compromises.
Le règlement européen sur la protection des données (RGPD) a consacré le caractère particulier des données biométriques en les qualifiant de « sensibles », au même titre que les données concernant la santé, les opinions politiques ou les convictions religieuses. Le traitement de ces données sensibles est en principe interdit, sauf certains cas limitativement énumérés.
Pour adapter le droit national à cette évolution des règles européennes, le législateur français a modifié la loi Informatique et Libertés. Les nouvelles dispositions prévoient que des dispositifs de contrôle d'accès biométriques peuvent être mis en place par des employeurs à condition d'être conformes à un règlement type élaboré par la CNIL.
Le règlement type « biométrie sur les lieux de travail » constitue le premier acte juridique de ce type élaboré par la Commission. Sa rédaction définitive a été précédée d’une consultation publique. Une trentaine de retours ont été adressés à la CNIL à cette occasion, et ont fait l’objet d’un examen attentif.
Ce cadre de référence s’inscrit dans la continuité des positions antérieures de la CNIL en matière de biométrie sur les lieux de travail. Il précise aux organismes comment encadrer leurs traitements de données biométriques et revêt un caractère contraignant. Les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans le règlement type.
Une FAQ accompagne la publication du règlement type afin d’en faciliter la lecture et la compréhension.