Le gendarme des données personnelles a lancé une consultation publique relative à son projet de règlement type sur les dispositifs de contrôle d'accès biométriques dans l’environnement professionnel, un texte auquel devront être conformes lesdits dispositifs pour être autorisés.
Après la mise en place du RGPD et l’adaptation du droit français au texte européen, les règles relatives au traitement de données biométriques ont changé. Il est notamment prévu que les « dispositifs de contrôle d'accès biométriques » dans les entreprises soient autorisés s’ils sont conformes à un règlement type élaboré par la Cnil.
Lundi, un premier projet de règlement type a été mis en consultation par le gendarme des données personnelles, qui recueillera les avis sur la question jusqu’au 1er octobre avant de présenter un projet modifié en séance plénière. Le texte est relativement proche de la réglementation précédemment en vigueur.
Il prévoit ainsi que le recours aux dispositifs biométriques n’est autorisé que pour deux finalités : « le contrôle des accès à l'entrée et dans les locaux limitativement identifiés par l'organisme comme devant faire l'objet d'une restriction de circulation, à l'exclusion de tout contrôle des horaires des employés » ainsi que le « contrôle des accès à des appareils et applications informatiques professionnels limitativement identifiés de l'organisme, à l'exclusion de tout contrôle du temps de travail de l'utilisateur ».
Recours justifié
Le responsable de traitement doit justifier de « la stricte nécessité de recourir à un traitement de données biométriques », lequel ne sera autorisé que dans le cas où les autres dispositifs d’identification seraient insuffisants pour atteindre le niveau de sécurité exigé. Le règlement type dresse également la liste des données à caractère personnel pouvant être traitées : l’identité, la vie professionnelle, l’accès aux locaux et aux outils de travail.
Les différentes justifications ainsi que l’appréciation par le responsable des risques en termes de sécurité de ces données « devront faire l’objet d’une documentation détaillée » et pourront être inscrites au registre obligatoire des traitements. La Cnil précise également la durée et les conditions de conservation des données, les modalités d’accès et de détention des gabarits (les mesures biométriques) et revient sur l’information obligatoire des personnes prévues notamment dans l’article 12 du RGPD.