Suite à l’entrée en vigueur du règlement européen sur la protection des données (RGPD) il y a presque un an, les données biométriques générées pour donner accès aux salariés à certains sites et à des applications sont considérées comme sensibles. Afin d’encadrer le recours à la biométrie sur les lieux de travail, la Commission nationale de l’informatique et des libertés (CNIL) vient d’adopter un règlement type. Voici une synthèse de toutes les nouvelles conditions à respecter par les employeurs.
RECOURS À LA BIOMÉTRIE SUR LE LIEU DE TRAVAIL
Respecter le règlement type élaboré par la Cnil
Sont considérées comme données biométriques celles permettant à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, permanente et dont elle ne peut s’affranchir (par exemple, son empreinte digitale ou l’iris de son œil). Le RGPD les a donc qualifiées de « données sensibles », leur traitement pouvant générer des risques importants en cas de violation des données. Voilà pourquoi le recours par l’employeur à des dispositifs d’identification biométrique doit être bien justifié et encadré. Les conditions de recours à ce type de dispositifs sont désormais fixées par le règlement type relatif à la mise en œuvre de la biométrie sur les lieux de travail, publié au Journal officiel le 28 mars 2018.
Il énumère d’abord les seuls cas où l’usage de la biométrie est autorisé en entreprise, notamment pour contrôler l’accès aux locaux, au matériel ou encore aux applications informatiques limitativement identifiés par l’employeur. L’employeur est également obligé de justifier le recours à la biométrie de façon documentée. Il doit indiquer le contexte, les enjeux, les contraintes techniques etc. qui peuvent démontrer la nécessité de recourir au traitement de ce type de données.
D’ailleurs, le règlement type fixe aussi les données biométrique pouvant être utilisées en vue de l’identification des salariés. Uniquement celles basées sur des caractéristiques morphologiques sont autorisées (voix, iris, visage, démarche, empreinte digitale etc.).
Informer les salariés concernés
Renforçant une obligation issue du RGPD, les employeurs souhaitant recourir aux dispositifs biométriques pour contrôler l’accès aux espaces, aux applications et aux outils de travail sont tenus d’informer les salariés concernés. En revanche, le consentement des salariés n’est pas nécessaire.
Si c’est le cas, l’employeur doit respecter également l’obligation de consulter et informer le comité social et économique avant d’utiliser la biométrie. Le comité d’hygiène, de sécurité et des conditions de travail (CHSCT) doit aussi être consulté avant toute décision modifiant les conditions de travail. L’installation de dispositifs de traitement des données biométriques rentre dans ce cadre.
Réaliser une « analyse d’impact relative à la protection des données »
Compte tenu du risque élevé pour les droits et libertés des salariés, les employeurs sont obligés de réaliser une analyse d’impact relative à la protection des données (AIPD). Cette analyse implique l’identification des risques potentiels ainsi que, le cas échéant, les mesures prises pour limiter les risques. Elle doit obligatoirement être effectuée avant la mise ne œuvre de tout traitement de données biométriques.
De plus, l’AIPD doit être mise à jour régulièrement (au moins tous les 3 ans) concernant l’évaluation des risques ainsi que les mesures de sécurité supplémentaires qui en découleraient.