Depuis l’application du Règlement Général sur la Protection des Données (ci-après le « RGPD ») et la dernière modification de la Loi Informatique et Libertés (ci-après la « Loi »), certaines dispositions de ces nouveaux textes appellent des éclaircissements.

Tel est le cas du traitement des données biométriques.

En effet, ces données ne sont pas des données à caractère personnel « classiques » : les données biométriques permettent d’identifier de façon irréversible un individu à partir des caractéristiques inhérentes à sa personne, telles que ses caractéristiques physiques, biologiques ou comportementales.
Compte tenu de la spécificité des données biométriques, l’article 9 du RGPD les qualifie de « données sensibles » et soumet leur traitement à un principe d’interdiction. (cf l’article « Réforme de la protection des données à caractère personnel : quid des données biométriques ? »)

D’un point de vue pratique, se pose aujourd’hui la question de l’équilibre entre, d’une part, l’impératif de protection des données biométriques, sachant que leur violation peut entraîner une atteinte aux droits et libertés, et d’autre part, le recours à la biométrie de plus en plus prisé par les entreprises, notamment sur les lieux de travail pour protéger l’accès aux locaux, au matériel informatique, à des applications, etc.

Le nouvel article 8 II 9° de la Loi Informatique et Libertés autorise le traitement des seules données biométriques qui sont « strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ». Cet article ajoute que les employeurs peuvent mettre en place des dispositifs de contrôle d’accès biométriques sous réserve que ces dispositifs soient conformes à un règlement type élaboré par la Commission Nationale de l’Informatique et des Libertés (ci-après la « CNIL »).

A la suite d’une consultation publique intervenue au mois de septembre 2018, la CNIL a adopté, le 10 janvier 2019, dans le cadre de son pouvoir réglementaire, un règlement type « biométrie sur les lieux de travail » afin de préciser les obligations incombant aux employeurs¹. Ce texte vient ainsi compléter et préciser certaines dispositions du RGPD et de la Loi. Le règlement type est doté d’un caractère contraignant et s’impose à tous les organismes de droit public ou de droit privé mettant en œuvre des dispositifs de contrôle d’accès biométriques.

L’article 2 du règlement type prévoit que le recours aux dispositifs biométriques n’est autorisé que pour les finalités ci-dessous :

  • « Le contrôle d’accès aux locaux limitativement identifiés par l’organisme comme devant faire l’objet d’une restriction de circulation ;
  • Le contrôle d’accès aux appareils et applications informatiques professionnels limitativement identifiés de l’organisme. »

En d’autres termes, si le contrôle de l’accès aux locaux est possible par l’utilisation d’une mesure moins intrusive, l’utilisation des données biométriques est interdite.

Par ailleurs, il est important de noter que le règlement type renforce l’obligation d’information des personnes concernées. En ce sens, l’article 9 du règlement type intitulé « Information des personnes » dispose :« Sans préjudice de ses obligations relatives à l’information et à la consultation des instances représentatives du personnel, l’employeur fournit aux personnes concernées l’information individuelle obligatoire prévue par les articles 12 et suivants du RGPD. Cette information doit figurer dans une notice écrite remise par le responsable de traitement à chaque personne concernée préalablement à l’enrôlement des données biométriques de ce dernier ».

En revanche, le consentement des salariés n’est pas requis puisque l’on considère que le traitement est, dans ce cas, fondé sur l’exécution d’un contrat et/ou l’intérêt légitime du responsable du traitement.

M&B Avocats

 


¹ Délibération n°2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail.