Les données biométriques constituant des données sensibles, le recours par l’employeur à des dispositifs d’identification biométrique doit être justifié par la nature de la tâche à accomplir et proportionné au but recherché.
C’est la raison pour laquelle son encadrement est précisé par la CNIL qui vient d’éditer un règlement type par une délibération du 10 janvier 2019.
En premier lieu l’usage de la biométrie n’est autorisé que dans deux cas :
-pour contrôler l’accès aux appareils et applications informatiques professionnels limitativement identifiés par l’employeur.
-pour contrôler l’accès aux locaux limitativement identifiés comme devant faire l’objet d’une restriction de circulation ;
Il devra être démontré la nécessité de recourir à un traitement de données biométriques, en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification mesures et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé.
Quelles sont les données pouvant être conservées ?
Les données biométriques qui peuvent être utilisées en vue de l’authentification des salariés sont celles basées sur des caractéristiques morphologiques (iris, empreinte digitale, réseau veineux de la main, démarche, etc.). Les données personnelles des salariés qui peuvent être renseignées via l’identification biométrique sont elles aussi définies de manière limitative : identité, vie professionnelle (numéro de matricule, service d’appartenance, etc.), locaux ou outils de travail autorisés, données de journalisation (accès ou matériels utilisés, horodatage, etc.).
Il n’est pas possible de procéder à des prélèvements sur les individus.
Par ailleurs l’employeur doit fixer une liste limitative des personnes pouvant avoir accès aux données collectées avec la justification des motifs pour lesquels il leur attribue ces droits.
Obligation d’information des salariés :
Tout comme d’autres procédés tels que la vidéosurveillance ou la géolocalisation l’employeur doit informer les salariés concernés et les représentants du personnel.
Il devra préciser notamment la finalité du traitement, la durée de conservation des données, les modalités de droit d’accès et de rectification…).
Cette information doit figurer dans une note écrite remise aux salariés concernés.
Obligation de réaliser une analyse d’impact
Avant toute mise en œuvre d’un dispositif d’identification biométrique sur le lieu de travail, l’employeur doit réaliser une analyse d’impact sur la protection des données (AIPD), et une mise en conformité du système RGPD.
L’AIPD doit être mise à jour régulièrement, au moins tous les 3 ans.
Le but poursuivi est celui de l’équilibre entre les nécessités de sécurité dans l’entreprise et le respect de la vie privée des salariés.