RGPD : la Cnil consulte sur la biométrie au travail

La Cnil lance une consultation publique portant sur le futur règlement type relatif à la biométrie au travail. Destiné à assurer la sécurité des systèmes de traitement, ce règlement vient prescrire des mesures spécifiques touchant à ces données sensibles.

Le règlement général sur la protection des données interdit, à son article 9, les traitements portant sur des données dites sensibles.

Ces données sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou encore la vie sexuelle. Le même texte prohibe les traitements relatifs aux données biométriques, du moins ceux calibrés pour identifier une personne physique de manière unique.

Classiquement, le principe connaît des exceptions, en particulier lorsque la personne a consenti à ces traitements, ou comme cela a été rappelé dans l’affaire Disinfo Lab, lorsque les données ont été rendues publiques par la personne concernée.

Le texte européen, applicable depuis le 25 mai 2018, autorise aussi les traitements biométriques nécessaires en matière de droit du travail. Encore faut-il cependant que ce régime soit encadré par la loi.

Interdiction de contrôler le temps de travail par la biométrie

En France, justement, le législateur exige que ces traitements biométriques soient conformes à un règlement type rédigé par la Cnil, élaboré en concertation avec les acteurs privés et publics. Son respect évitera d’avoir à réaliser une étude d’impact.

C’est dans ce contexte que la commission vient de lancer une consultation publique portant sur son projet de règlement type relatif à la biométrie.  

Après avoir défini ces données, le texte n’autorise ces traitements que pour deux types de contrôle d’accès : d’une part, à l'entrée et dans les locaux soumis à restriction de circulation, d’autre part, à des appareils et applications informatiques professionnels. Dans tous les cas, l’usage de la biométrie est interdit pour contrôler le temps de travail de l'utilisateur.

Principe de minimisation

Ce recours doit en outre être justifié (principe de nécessité). Quelques exemples sont fournis : « manipulation des machines ou produits dangereux, accès aux fonds ou aux objets de valeur, matériel ou produits faisant l’objet d’une réglementation spécifique – précurseurs des substances psychotropes, produits chimiques pouvant être utilisés pour la fabrication d’armes ».

Quant aux données pouvant être aspirées, la Cnil prévoit là aussi une liste limitative : nom, prénom, photographie et gabarit de la caractéristique biométrique, clé biométrique, numéro d'authentification, numéro de matricule interne, corps ou service d'appartenance, grade, nom de l'employeur...

Cette logique de minimisation se retrouve aussi bien dans les destinataires des données traitées (des personnes habilitées) que dans la durée de conservation (trois mois après le départ de l’intéressé). 

La question sensible de la sécurisation

Le gros « morceau » du règlement en cours concerne évidemment la sécurité des données. Touchant à des informations sensibles, le niveau exigé est beaucoup plus documenté. Ces données devront être cloisonnées, chiffrées, et même supprimées en cas d’accès non autorisé, avec obligation d’information des victimes.

On trouve d’autres contraintes, spécifiques aux modalités organisationnelles, aux matériels ou encore aux logiciels qui devront être tenus à jour, en utilisant là aussi des canaux sécurisés. « Les justifications exigées dans le présent règlement, ainsi que l’estimation des risques, ajoute le projet, devront faire l’objet d’une documentation détaillée. À ce titre, elles peuvent figurer au registre qui doit être tenu par le responsable de traitement conformément à l’article 30 du RGPD. »

Quiconque pourra commenter ce règlement type à partir d'un formulaire jusqu’au 1er octobre 2018. Ces pièces seront ensuite soumises à la Cnil, réunie en séance plénière.