Afin de se mettre en conformité avec le Règlement européen sur la protection des données (RGPD), la CNIL a publié, fin mars 2019, un règlement type précisant les obligations des organismes désireux d'avoir recours à un dispositif biométrique.
Qu'il s'agisse de protéger les accès de locaux, d'appareils, d'outils de travail et/ou d'applications, les données biométriques sont utilisées à des fins d'identification. Elles donnent en effet la possibilité d'identifier une personne à partir d'éléments biologiques uniques dont l'individu ne peut se détacher de par leur caractère permanent.
Ce sont ces attributs qui rendent les données biométriques si sensibles. Leur traitement engendre des risques pour les droits et libertés des personnes.
Avant le RGPD, la législation applicable aux données biométriques fonctionnait selon une logique d'autorisation avalisée par la signature préalable de documents administratifs.
Cette logique a depuis été abandonnée et la loi Informatique et Libertés a été modifiée au profit d'une démarche de conformité active, afin de rendre les acteurs responsables de leurs données, avant leur utilisation.
Il s'agit donc, pour les organismes, de vérifier en trois étapes que la mise en place d'un dispositif biométrique et le traitement des données afférent soient conformes au règlement type de la CNIL.
La nécessité d'un dispositif biométrique
La nécessité d'avoir recours à un dispositif de contrôle d’accès biométrique se doit d'être justifiée.
Si les habituels systèmes de badges ou de mots de passe suffisent à protéger les locaux, appareils ou applications dont l'accès ou l'utilisation doit être limitée, il ne saura être question de mettre en œuvre un dispositif biométrique.
Si les dispositifs ordinaires de sécurité peuvent être améliorés mais que ces mêmes locaux, applications ou appareils ne revêtent pas un caractère d'une sensibilité particulière, la mise en place d'un dispositif biométrique sera jugée accessoire.
La mise en place d'une telle solution de sécurité ne pourrait par conséquent être justifiée au regard du règlement type.
De manière générale, il s'agit de privilégier la solution la moins intrusive au regard du rapport bénéfices/risques.
La maîtrise du gabarit en question
Le gabarit biométrique doit, idéalement, être maîtrisé par la personne qu'il concerne.
Le stockage de ses propres données devrait être maîtrisé exclusivement par la personne concernée (stockage « de type 1 ») sur un support individuel.
Si une telle disposition n'est pas possible, un stockage « de maîtrise partagée » (« de type 2 ») devra être privilégié. Il s'agit d'associer au gabarit un secret, communiqué à la personne concernée, sans lequel le gabarit est indéchiffrable.
Enfin, et en derniers recours, si aucun de ces deux types de stockage n'est envisageable, on pourra utiliser un stockage « de type 3 » : sous maîtrise exclusive de l'employeur.
Mesurer, motiver, documenter les choix
Quels que soient le dispositif et le type de stockage retenus, l'employeur doit réaliser une étude d'impact concernant la protection des données biométriques.
Outre le respect des dispositions du règlement type, il doit également définir et légitimer le choix du dispositif et de ses spécificités. Enfin, il est tenu de consulter et/ou d'informer les instances représentatives du personnel.
Faire appel à un spécialiste de la sécurité privée donnera à un employeur la possibilité d'éviter les écueils liés à un projet de contrôle d’accès biométrique et de présenter un dispositif en totale adéquation avec la réglementation.