Besoin d'aide
Posez votre question, la CNIL vous répond
Vous recherchez une information ? Les questions les plus fréquemment posées sont recensées ici.
Posez votre question dans l'encadré ci-dessous, notre système vous transmettra les questions-réponses en lien avec votre problématique.
Contrôle d'accès biométrique sur les lieux de travail : à quelles conditions ?
Règle n° 1 : le contrôle d'accès biométrique à des locaux, à des ordinateurs ou à des applications sur les lieux de travail doit être justifié par l'employeur.
- Expliquer pourquoi un dispositif sans biométrie (contrôle par badge, mot de passe, vidéosurveillance par exemple) n'est pas suffisant.
- Exposer en quoi le recours à un dispositif biométrique répond aux besoins de l'organisme. Par exemple, un laboratoire souhaitant sécuriser ses locaux et s'assurer que seules les personnes formées et habilitées ont accès à des substances chimiques dangereuses semble en mesure de démontrer un intérêt à utiliser un contrôle d'accès biométrique.
Règle n°2 : Privilégier les dispositifs garantissant la maîtrise exclusive des employés sur leur gabarit biométrique.
- Cf. fiche : Biométrie : un "gabarit" biométrique, c'est quoi ?
- Pour ces "traitements de type 1", le gabarit biométrique est stocké sur un support individuel remis et détenu uniquement par l'employé (aucune copie n'est conservée par l'employeur ou les prestataires techniques).
- Exemple : une carte ou un badge équipé d'une puce sur laquelle le gabarit (empreinte digitale, iris etc.) est stocké.
Règle n°3 : S'il existe un contexte exceptionnel justifié par des considérations spécifiques et étayées, un dispositif prévoyant une maîtrise partagée employeur/employés sur les gabarits biométriques ou une maîtrise exclusive de l'employeur sur les gabarits biométriques peut être envisagé.
- Cf. fiche : Biométrie : un "gabarit" biométrique, c'est quoi ?
- Pour les "traitements de type 2" (maîtrise partagée employeur/employés sur les gabarits biométriques), il existe bien une base de données contenant les gabarits de l'ensemble des employés. Toutefois, ces données sont chiffrées de manière à ce qu'aucune donnée ne puisse être lue et exploitée sans l'intervention du salarié. Par exemple, un code personnel doit être présenté par le salarié lorsqu'il s'identifie.
- Pour les "traitements de type 3" (maîtrise exclusive de l'employeur sur les gabarits biométriques), les gabarits de l'ensemble des salariés sont conservés dans une base de données centralisée mais le salarié n'a aucune maîtrise sur le support du stockage.
- Par exemple, une centrale nucléaire peut avoir besoin de centraliser les gabarits des personnes habilitées à accéder aux locaux, pour des questions de sécurité et de capacité à réagir en situation d'urgence.
- Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en oeuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail
- Question-réponses sur le règlement type biométrie