A la suite de la consultation publique menée du 3 au 30 septembre 2018, la Commission nationale Informatique et Libertés (CNIL) a adopté le 10 janvier 2019 son premier règlement-type relatif à l’utilisation de la biométrie sur les lieux de travail.

Ce règlement type « a pour objet de fixer des exigences spécifiques applicables aux traitements de données biométriques nécessaires au contrôle par les employeurs publics ou privés de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires » (article 1 de la délibération [1]).

Les données biométriques sont définies par l’article 4.14 du Règlement général sur la protection des données du 27 avril 2016 (RGPD) comme étant : « les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques  ».

Elles sont visées d’autre par l’article 9.1 du RGPD parmi les données considérées comme « sensibles » puis reprises à l’article 8.1 de la loi Informatique et Libertés modifiée.

La biométrie représente aujourd’hui un des moyens les plus fiables pour authentifier une personne, et cette technique est de plus en plus utilisée dans le contexte professionnel pour contrôler l’accès à certains locaux, à des ordinateurs, ou à des applications sensibles.

Mais les données biométriques reposent sur une réalité biologique permanente dont le mauvais usage ou le détournement peuvent avoir des conséquences graves pour les droits et libertés des personnes concernées.

C’est la raison pour laquelle la CNIL a souhaité définir le cadre juridique de l’utilisation de ces données biométriques sur le lieu de travail (I) en publiant son premier règlement-type (II).

I. Le cadre juridique des données biométriques

Avant l’entrée en application du RGPD, la loi Informatique et Libertés du 6 janvier 1978 prévoyait une autorisation spécifique de la CNIL pour mettre en place des « traitements automatisés comportant des données biométriques nécessaires au contrôle de l’identité des personnes » [2].

Depuis le 25 mai 2018, date de l’entrée en application du RGPD et de la suppression de la plupart des formalités préalables, il n’est plus nécessaire d’obtenir de la CNIL une autorisation pour les traitements précités, à l’exception des traitements mis en œuvre pour le compte de l’Etat, agissant dans l’exercice de ses prérogatives de puissance publique (article 27 de la loi Informatique et Libertés modifié).

Mais le RGPD prévoit, s’agissant du traitement des données biométriques, la possibilité pour les Etats membres de « maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement (…) des données biométriques (…) » (article 9.4).

Le législateur s’est saisi de cette marge de manœuvre et a prévu à l’article 8-II-9 de la loi Informatique et Libertés modifiée par la loi du 20 juin 2018 [3] que les traitements « mis en œuvre par les employeurs ou les administrations qui portent sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires » devaient être « conformes aux règlements types » élaborés par la CNIL.

II. L’impact juridique du règlement type

C’est donc au titre des règlements-types visés à l’article 11-I.2.b de la loi Informatique et Libertés modifiée qui ont pour objet : « … d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé », que la Commission a, après concertation avec les organismes publics et privés représentatifs des acteurs concernés, définit les  : « … mesures, notamment techniques et organisationnelles, supplémentaires pour le traitement des données biométriques (…) ».

A ce titre, la CNIL rappelle qu’ « à la différence des autres outils normatifs qu’elle peut adopter (tels que les référentiels, les recommandations ou encore les anciennes autorisations uniques et actes réglementaires uniques etc.), le respect du règlement type est obligatoire pour tout organisme souhaitant mettre en place un dispositif biométrique dans le champ d’application qu’il couvre » et qu’ « à défaut de le respecter, un tel traitement ne peut être mis œuvre ».

En outre, l’article 1 du règlement-type rappelle qu’il « n’a pas vocation à se substituer aux obligations générales découlant du RGPD et de la loi « Informatique et Libertés » modifiée, mais à les compléter ou à préciser certaines d’entre elles  ».

Par exemple le principe de licéité du traitement, visé à l’article 6 du RGPD et à l’article 7 de la loi Informatique et Libertés modifié, est complété par l’article 3 du règlement-type qui impose au responsable de traitement de justifier la nécessité de recourir à un traitement de données biométriques « en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges, mots de passe, etc.) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé ».

La sécurité constitue en effet un des apports majeurs du règlement-type qui prévoit des mesures spécifiques relatives aux données, à l’organisation, aux matériels, aux logiciels et aux canaux informatiques.

Les traitements qui relèvent du champ d’application du règlement-type sont susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées. C’est la raison pour laquelle une étude d’impact est requise selon l’article 11 du règlement-type qui renvoie à la délibération du 11 octobre 2018 de la CNIL [4].

Pour faciliter la lecture et la compréhension de ce règlement type, la CNIL a mis en place une FAQ disponible sur son site.

[1] Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail

[2] Ancien article 25.8 de la loi Informatique et Libertés du 6 janvier 1978, abrogé depuis l’entrée en application du RGPD

[3] Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles

[4] Délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise