Biométrie : l'employeur doit protéger les données de ses salariés

Biométrie : l'employeur doit protéger les données de ses salariés

01.04.2019

Gestion du personnel

Empreinte digitale, reconnaissance de l'iris, authentification vocale... Pour restreindre l'accès aux lieux de travail ou à du matériel dangereux, certains employeurs utilisent les données biométriques de leurs salariés. Une technologie qui comporte des risques, notamment de piratage. La Cnil a publié jeudi un règlement type qui impose les pratiques à adopter.

Sur certains sites hautement sécurisés, les salariés accèdent à leur lieu de travail par reconnaissance de leur empreinte digitale, de leur iris ou de leur visage. On appelle ces techniques informatiques la biométrie. Elle permet d'identifier un individu à partir de ses caractéristiques physiques, biologiques voire comportementales (voix, démarche). Les données biométriques sont désormais considérées comme des données sensibles depuis l'entrée en vigueur en France du Règlement général de protection des données (RGPD) le 25 mai dernier. Et pour cause : si l'on peut oublier chez soi son badge d'accès, il est impossible de se défaire d'une de ses caractéristiques biométriques. Un usage malveillant ou détourné de ces données peut s'avérer risqué pour les droits et libertés des individus. C'est pourquoi, sur le lieu de travail, l'utilisation des systèmes biométriques doit être strictement encadré.

Gestion du personnel

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

La gestion des ressources humaines (ou gestion du personnel) recouvre plusieurs domaines intéressant les RH :

- Le recrutement et la gestion de carrière (dont la formation professionnelle est un pan important) ;
- La gestion administrative du personnel ;
- La paie et la politique de rémunération et des avantages sociaux ;
- Les relations sociales.

Découvrir tous les contenus liés

La loi sur la protection des données personnelles du 20 juin 2018 a confié à la Cnil la mission de publier un règlement type sur l'utilisation des données biométriques sur le lieu de travail. C'est chose faite depuis le 28 mars, date à laquelle la délibération de la Cnil concernant le règlement type a été publiée au Journal officiel. Le respect de ce règlement est obligatoire pour tout employeur privé souhaitant mettre en place un dispositif biométrique.

Lorsqu'un badge n'est pas suffisant

Première règle : les dispositifs biométriques ne sont autorisés sur le lieu de travail que dans deux objectifs. Le contrôle de l'accès à certains locaux qui doivent faire l'objet d'une restriction de circulation, et le contrôle de l'accès à certains appareils ou applications informatiques professionnels. Dans les deux cas, l'employeur doit définir précisément quels locaux ou quels appareils sont visés.

Ensuite, le traitement de données biométriques doit être absolument nécessaire. L'entreprise doit démontrer cette nécessité, d'abord en justifiant du contexte spécifique de l'activité de l'entreprise qui impose un niveau élevé de protection : manipulation de machines ou produits particulièrement dangereux, accès à des fonds ou objets de valeur, accès à du matériel ou des produits faisant l'objet d'une règlementation spécifique (substances psychotropes, produits chimiques pouvant être utilisés dans la fabrication d'armes, etc.)... L'entreprise doit également indiquer pourquoi d'autres dispositifs d'identification moins invasifs - comme un badge d'accès ou un mot de passe - sont inutiles ou insuffisants.

Privilégier la maîtrise des données par le salarié

Le système de biométrie mesure certaines caractéristiques morphologiques de la personne à enregistrer : la forme et la taille de sa main, l'apparence de son empreinte digitale ou de son visage... Ces mesures mémorisées sont appelées des gabarits. Le règlement type de la Cnil liste trois différents types de gabarits, en fonction de la façon dont les données de la personnes sont stockées.

  • Le gabarit de type 1 : maîtrise exclusive par la personne

L'individu concerné est le seul à détenir le gabarit - et donc ses données personnelles - sous la forme d'un badge. Pour s'authentifier, le salarié doit présenter à la fois ce badge et la caractéristique biométrique concerné, sa main par exemple. Le dispositif de contrôle compare alors le gabarit stocké sur le badge et la main qui est présentée. Le gabarit de type 1 est celui à privilégier, selon la Cnil, car il limite le risque d'accès non autorisé aux données biométriques de la personne. En effet, il n'existe alors aucune base de données centralisée des gabarits de tous les salariés.

  • Le gabarit de type 2 : maîtrise partagée

Les gabarits sont stockés dans une base de données collective, mais les données sont cryptées. Elles ne pourront être lues que sur intervention du salarié concerné, via la présentation d'un badge ou le renseignement d'un mot de passe. Selon la Cnil, le risque reste limité en cas d'attaque de la base de données, car les gabarits restent illisibles. Le gabarit de type 2 ne peut être utilisé que s'il est avéré que le gabarit de type 1 est inadapté à la situation de l'entreprise.

  • Le gabarit de type 3 : maîtrise exclusive par l'employeur

Les gabarits de tous les salariés sont contenus dans une base centralisée, et le salarié n'a pas à présenter de badge ou de code d'accès pour s'authentifier. Il doit seulement présenter sa caractéristique biométrique (main, empreinte digitale, iris). Il s'agit du mode de stockage le plus risqué, car une fuite des données exposera les salariés de manière irréversible. Le gabarit de type 3 ne doit être utilisé qu'en dernier recours, si les deux autres types de gabarits sont inadaptés à l'entreprise. L'entreprise devra en outre procéder à une analyse des risques sur les droits et libertés des personnes.

Selon la Cnil, le recours à un gabarit de type 2 ou 3 ne sera justifié que dans des cas exceptionnels, notamment "lorsque la perte d'un badge ou d'un code aurait des conséquences particulièrement graves pour le déroulement des opérations", notamment en cas d'urgence (centrales nucléaires, blocs opératoires, etc.).

Des mesures de protection contrôlées chaque année

Chaque choix de l'employeur concernant le dispositif d'authentification doit être justifié et documenté. Cette obligation n'est pas à prendre à la légère ! Car, si avec le RGPD, l'employeur ne doit plus obtenir en amont l'autorisation de la Cnil, il reste responsable de la conformité de son traitement à la loi.

De plus, en tant que traitement de données sensibles, le dispositif biométrique doit faire l'objet, avant sa mise en oeuvre, d'une analyse d'impact relative à la protection des données (AIPD). L'entreprise doit mettre à jour cette évaluation des risques au moins une fois tous les trois ans. Elle doit également mettre en oeuvre une longue liste de mesures de sécurités détaillées par le règlement type : chiffrement des données, systèmes de détection de fraude, formation des administrateurs des données, etc. Chaque année, l'entreprise doit vérifier la bonne mise en oeuvre de l'ensemble de ces mesures.

Laurie Mahé Desportes
Vous aimerez aussi