Besoin d'aide
Posez votre question, la CNIL vous répond
Vous recherchez une information ? Les questions les plus fréquemment posées sont recensées ici.
Posez votre question dans l'encadré ci-dessous, notre système vous transmettra les questions-réponses en lien avec votre problématique.
Contrôle d'accès biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail : quelles sont les mesures prescrites par la CNIL ?
Si l'employeur a démontré qu'il y avait un intérêt à utiliser un contrôle d'accès biométrique aux locaux, aux appareils et aux applications informatiques par ses salariés, il doit respecter les mesures prescrites par la CNIL par le règlement type qu'elle a adopté le 10 janvier 2019.
Par exemple, il doit fournir une documentation circonstanciée sur la nécessité de recourir à un dispositif biométrique, il doit mener et documenter la réflexion sur les risques pour les droits et intérêts des personnes concernées (c'est l'objet de l'"analyse d'impact relative à la protection des données" (AIPD) obligatoire pour ces dispositifs).
Attention ! L'employeur doit également respecter toutes les autres dispositions du RGPD et de la Loi "Informatique et Libertés" (obligation de nommer un délégué à la protection des données, obligation de tenir un registre des activités de traitement, obligation d'information en cas de violation des données, voire demande d'avis dans certains cas etc. ) et les dispositions du Code du travail (obligation d'informer et de consulter les instances représentatives du personnel etc. )
Par exemple, il doit fournir une documentation circonstanciée sur la nécessité de recourir à un dispositif biométrique, il doit mener et documenter la réflexion sur les risques pour les droits et intérêts des personnes concernées (c'est l'objet de l'"analyse d'impact relative à la protection des données" (AIPD) obligatoire pour ces dispositifs).
Attention ! L'employeur doit également respecter toutes les autres dispositions du RGPD et de la Loi "Informatique et Libertés" (obligation de nommer un délégué à la protection des données, obligation de tenir un registre des activités de traitement, obligation d'information en cas de violation des données, voire demande d'avis dans certains cas etc. ) et les dispositions du Code du travail (obligation d'informer et de consulter les instances représentatives du personnel etc. )
En savoir plus : Question-réponses sur le règlement type biométrie