Depuis l’entrée en application du RGPD (règlement général sur la protection des données), le régime juridique des données biométriques s’est renforcé. Dans les entreprises, l’installation de systèmes de contrôle par ce biais répond désormais à des règles drastiques.
C’est devenu un geste courant de la vie quotidienne : déverrouiller son smartphone ou sa voiture grâce à la reconnaissance digitale ou vocale. Dans les entreprises aussi, les systèmes de contrôle par données biométriques (c’est-à-dire des données reposant sur des caractéristiques physiques ou biologiques des individus) se développent. Ils peuvent être mis en place pour contrôler l’accès à des locaux, à des ordinateurs ou à des applications informatiques, et uniquement pour ces finalités-là.
La vigilance autour de ces systèmes a toujours été la norme, et la Cnil (Commission nationale de l’informatique et des libertés) veillait au grain. Elle est notamment intervenue en 2018 pour sanctionner une entreprise spécialisée dans la télésurveillance d’ascenseurs et de parkings qui avait mis en place un dispositif de pointage biométrique par recueil d’empreinte digitale, en vue de contrôler les horaires des salariés (lire le commentaire du service juridique de la CFDT).
Mais l’entrée en vigueur du RGPD (règlement général sur la protection des données) en mai 2018 a donné un tour de vis supplémentaire ainsi qu’un cadre encore plus protecteur. En effet, le RGPD a inscrit les données biométriques dans la catégorie des « données sensibles », au même titre que les données de santé, les opinions politiques ou religieuses ou l’orientation sexuelle, dont le traitement est interdit, sauf exception spécifiquement encadrée, ce qui n’était pas le cas avant mai 2018.
Pour répondre à ces nouvelles exigences, et que cela soit inscrit en droit français, la loi Informatique et Libertés (entrée en vigueur en juin dernier) a été modifiée. Désormais, les dispositifs de contrôle d’accès biométrique doivent, pour pouvoir être mis en place, être conformes à un règlement type élaboré par la Cnil, intitulé « biométrie sur les lieux de travail ».
si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles, l’installation de système biométrique ne peut se justifier
Les obligations du règlement type de la Cnil
Parmi les principales obligations : celle, pour l’employeur, de justifier et documenter le choix d’un dispositif biométrique, en expliquant pourquoi le recours à d’autres mesures de protection (badges, mots de passe, etc.) serait insuffisant compte tenu du niveau de sécurité exigé. « Il est clair que la mise en place d’un dispositif de reconnaissance biométrique est considérée par la Cnil comme un recours à une technologie particulière, dont la pertinence doit être dûment justifiée », explique-t-on à la Cnil. « Par exemple, si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles, l’installation de système biométrique ne peut se justifier. »
Le règlement type précise également les obligations à respecter quant aux données…