Apr
02
Contrôle d’accès par authentification biométrique sur les lieux de travail

Par délibération n° 2019 du 10 janvier de la commission nationale de l’informatique et des libertés un règlement type a été adopté relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail. 

Ce règlement a pour objet de fixer des exigences spécifiques applicables aux traitements de données biométriques nécessaires au contrôle par les employeurs publics ou privés de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires

Les données biométriques s’entendent, conformément à l’article 4-14 du RGPD, comme les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. Ces données sont considérées comme sensibles au sens de l’article 9 du RGPD.

Le règlement type n’a pas vocation à se substituer aux obligations générales découlant du RGPD et de la loi « Informatique et Libertés » modifiée, mais à les compléter ou à préciser certaines d’entre elles.

Les organismes mettant en œuvre de tels traitements devront ainsi respecter l’ensemble des autres exigences légales et réglementaires relatives aux principes du traitement de données, aux droits des personnes ou aux transferts internationaux de données.

Sont prévues aux termes de ce règlement des mesures se rapportant :

  • aux finalités autorisées, 
  • aux données à caractère personnel et données biométriques permises, 
  • aux personnes habilitées à traiter les données, 
  • aux modalités d’information des personnes concernées, 
  • à la sécurité des données, 
  • à l’organisation, aux matériels et logiciels utilisés, 
  • aux canaux informatiques,
  •  aux impacts relatifs à la protection des données, les traitements régis par le présent règlement type étant considérés comme susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées.

Le responsable de traitement devra donc à la fois respecter les dispositions du présent règlement type, documenter et tenir à disposition de la CNIL les justifications qui y sont demandées et procéder à une évaluation des risques sur les droits et libertés des personnes aux fins de les identifier et, le cas échéant, de les traiter.

 JORF n°0074 du 28 mars 2019

 

 

 

 

Ajouter un commentaire

Image CAPTCHA