Gestionsociale.fr : « Le traitement des données biométriques en entreprise : les nouvelles règles » par Jérémie Boublil et Elise Dufour
Dans un article publié sur Gestionsociale.fr, Jérémie Boublil, avocat associé et Elise Dufour, Of Counsel, abordent les nouvelles règles relatives aux dispositifs de contrôle d’accès biométrique sur les lieux de travail.
La CNIL a adopté le 30 juin 2016 deux autorisations uniques encadrant l’ensemble des dispositifs de contrôle d’accès biométrique sur les lieux de travail, quels que soient les types de biométries utilisés.
Encadrement. Les données biométriques ne sont pas des données à caractère personnel comme les autres. Ces données permettent en effet le « traçage » des individus et leur identification certaine dans la mesure où elles ont la particularité d’être uniques et permanentes.
Dans la mesure où leur mauvais usage ou leur détournement peuvent avoir des conséquences graves pour les droits et libertés des personnes, les dispositifs biométriques sont strictement encadrés par la loi Informatique et Libertés et sont soumis à l’autorisation préalable de la CNIL (article 25).
Lieu de travail. Dans un contexte professionnel, les données biométriques servent habituellement à permettre le contrôle d’accès à des locaux, à des ordinateurs, ou à des applications.
Vis-à-vis des salariés, le traitement de données biométriques présentant des risques accrus, leur traitement doit faire l’objet d’une protection renforcée.
Autorisations uniques. Afin d’encadrer les cas où l’utilisation de la biométrie parait acceptable dans un milieu professionnel, la Commission a adopté deux autorisations uniques, abrogeant l’ensemble des autorisations uniques préalablement adoptées (AU-007, AU-008, AU-019, AU-027).
Nouveau cadre. La première autorisation unique traite des dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique (AU-052), la seconde concerne les dispositifs biométriques ne garantissant pas cette maîtrise (AU-053).
Autorisation AU-052. L’autorisation unique n°AU-052 concerne les dispositifs biométriques mis en œuvre pour contrôler l’accès aux locaux, appareils et applications informatiques utilisés sur les lieux de travail. Ces dispositifs doivent garantir à la personne concernée de garder la maîtrise de son gabarit. Les caractéristiques biométriques devront ainsi être conservées sous la forme d’un gabarit chiffré ne permettant pas de recalculer la donnée biométrique d’origine et dont la clé de chiffrement/déchiffrement uniquement devra être détenue par la personne concernée.
Cette autorisation unique ne peut en aucun cas avoir pour finalité le contrôle du temps de travail du salarié.
Autorisation AU-053. Dans le cas où les données biométriques ne peuvent être conservées dans des conditions permettant à la personne concernée de garder la maîtrise de son gabarit, le responsable du dispositif biométrique devra argumenter par écrit ses choix et appliquer les mesures de sécurité précisées dans l’autorisation unique AU-053.
Droit social. Par ailleurs, les données biométriques étant relatives à des salariés, l’ensemble des dispositions applicables au regard du droit social devra être par ailleurs respecté.
Comité d’entreprise. Le comité d’entreprise devra ainsi d’abord être consulté en application des articles L. 2323-29 et L. 2323-30 du Code du travail. La consultation du comité d’entreprise doit permettre à ce dernier de donner son avis sur la pertinence et la proportionnalité entre l’utilisation de la biométrie et la finalité recherchée.
CHSCT. Le CHSCT doit également être informé et consulté sur le recours à la biométrie, en application de l’article L. 4612-9 et L. 4612-10 du Code du travail.
Enfin, en application de l’article L. 1222-4 du Code du travail selon lequel « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. » chaque salarié doit être informé avant toute mise en place des dispositifs numériques.
En pratique, cette information sera assurée soit par lettre remise en main propre, soit par l’envoi d’un e mail d’information à tous les salariés et devra en tout état de cause être intégrée à la charte des systèmes d’information des salariés, qui devra faire l’objet d’une mise à jour.
