octobre 2017

Les conseils de la CNIL pour la mise en place d’un contrôle d’accès biométrique en entreprise

A l’occasion d’une conférence organisée par la société Horoquartz lors du salon APS, qui s’est tenu du 26 au 28 septembre porte de Versailles à Paris, Sophie Genvresse de la CNIL est revenue sur le cadre réglementaire qui entoure les dispositifs de biométrie.

Souvent mal connu ou sujet à incompréhension, il est important de comprendre le nouveau cadre réglementaire de la CNIL et de s’assurer de la conformité des dispositifs de contrôle d’accès biométrique présents en entreprise. Si vous avez manqué la conférence, en voici un résumé.

Pourquoi la CNIL porte une attention toute particulière à la biométrie ?

Rappelons que la biométrie est une technologie qui permet l’identification d’un individu à partir de ses caractéristiques physiques, biologiques, ou comportementales (empreinte digitale, reconnaissance vocale, ADN…).

La biométrie étant une donnée du corps humain, unique à un individu, permanente et irrévocable, elle fait l’objet d’une vigilance toute particulière pour la CNIL. En effet, divulguée à un tiers, les conséquences sont biens plus difficiles à maîtriser qu’une simple perte de badge ou de mot de passe (possibilité d’usurpation d’identité)…

La doctrine de la CNIL : un régime légal, une spécificité française…

La CNIL a toujours travaillé pour veiller à établir un cadre réglementaire autour des dispositifs biométriques en entreprise dans le but de protéger les données des salariés.

Il y a encore quelques années la CNIL encadrait le contrôle d’accès biométrique  sur les lieux de travail en distinguant les données « à trace » et « sans trace », mais aujourd’hui cette distinction n’est plus possible. La grande majorité des technologies est « à trace ». De ce fait, la CNIL a fait évoluer son règlement pour abandonner cette distinction et se concentrer d’avantage sur les usages et la manière d’utiliser la biométrie pour fonder sa nouvelle doctrine.

En conséquence, dans la dernière doctrine de la CNIL en place depuis le 30 juin 2016, la commission a défini des cadres réglementaires de référence (Autorisation Unique) afin de déterminer pourquoi et dans quelle mesure un dispositif de contrôle d’accès peut être mis en place dans une entreprise. En définitive, pour mettre en œuvre un contrôle d’accès biométrique il faut avoir obtenu l’autorisation de la CNIL et il faut être en mesure de justifier sa demande !

Il y a donc 2 Autorisations Uniques (AU) qui encadrent le contrôle d’accès biométrique en France :

  • AU-052 qui encadre les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (gabarit dans le badge)
  • AU-053 qui encadre les dispositifs biométriques ne garantissant pas cette maîtrise (gabarit en base)

Quel que soit le type de biométrie utilisé, la priorité est de maintenir la maîtrise de l’individu sur ses données (AU-052). Par exception, on admet le stockage des gabarits en base centralisée mais il faut pouvoir justifier de circonstances exceptionnelles de sécurité (AU-053).

Si l’entreprise est soumise à un contrôle de la CNIL, il faut être en mesure de justifier des circonstances de mise en place d’un tel dispositif.

Un principe de consentement qui peut être appliqué

De manière générale, la mise en place d’un dispositif biométrique en entreprise doit être basée sur le consentement des personnes. Il faut pouvoir avoir le choix d’utiliser ou non la technologie biométrique.

Cependant, le principe de consentement est difficilement applicable même lorsqu’il s’agit d’une demande d’un salarié. En effet, le rapport hiérarchique existant entre le salarié et l’employeur restreint la liberté de consentement de l’employé. Pour faire face à cette situation, la CNIL a dû trouver un autre fondement : pouvoir justifier d’un intérêt légitime.

A partir de mai 2018, le Règlement Européen va entrer en application et l’intérêt légitime qui suffisait à l’employeur pour mettre en place son dispositif biométrique ne suffira plus. L’employeur devra se baser sur un texte de loi ou une convention collective pour appuyer sa demande.

Pas d’hostilité de la CNIL à l’égard de la biométrie

« Contrairement à ce qui pourrait être perçu, la CNIL n’est pas hostile aux dispositifs biométriques mais elle pousse à l’évaluation préalable des risques et des avantages que présente un tel dispositif », indique Sophie Genvresse.

La CNIL sensibilise les entreprises sur sur les points à bien vérifier dans la mise en œuvre d’un projet d’accès avec biométrie :

  • question de fiabilité – probabilités d’ordre statistique – faux rejets et fausses acceptations
  • captation et lecture de caractéristiques humaines par une machine / problématique des traces eu égard aux nouvelles technologies: empreintes digitales et palmaires, photographies, ADN, etc.
  • usurpation d’identité au travers de données irrévocables
  • détournement de finalité / réutilisation des données
  • faille de sécurité (OPM, printemps 2015 – 5,6 millions d’empreintes)

Avant de se lancer dans la mise en place d’un tel dispositif dans son entreprise il est donc nécessaire d’établir quelle est la finalité du dispositif. Est-ce que le dispositif est proportionné aux risques à couvrir ? Et est-ce qu’il existe une alternative au contrôle d’accès biométrique ?

Des risques partagés

Jusqu’ici les sanctions éventuelles pesaient uniquement sur l’entreprise qui disposait d’un contrôle d’accès biométrique. A partir de mai 2018 et dans le cadre du nouveau règlement européen, le risque sera partagé entre l’entreprise bénéficiaire du système de contrôle d’accès et son prestataire / fournisseur pour manque à son obligation d’accompagnement et de conseil le cas échéant.

Il est donc important de choisir un prestataire expérimenté, capable d’un véritable accompagnement et conseil, pour accompagner son projet de mise en place d’un contrôle d’accès biométrique d’entreprise.

 Un cadre européen mais une approche spécifique par pays

A partir de mai 2018, la donnée biométrique devient une donnée sensible pour tous les pays européens et sujet à une analyse de risque particulière. Elle nécessitera le consentement de la personne.

A chaque fois qu’un dispositif est installé il faudra procéder à une analyse de risque :

  • Légitimité de la finalité,
  • Fondement légal au traitement de données biométriques – consentement,
  • Balance des intérêts / risques – proportionnalité – alternative,
  • Garanties fortes pour les personnes concernées :
  • Minimisation des données, y compris en terme de durée,
  • Principe de Privacy by Design / by Default (au niveau fournisseurs également)
  • Mesures de sécurité renforcée
  • Information des personnes (dont consultation des IRP)

 

Maude Baudrand, Chef de Projet Marketing Sûreté-Sécurité chez Horoquartz

Maude Baudrand