Question-réponses sur le règlement type biométrie

Au sens large, le mot « biométrie » peut s’entendre comme tout système permettant de « mesurer le vivant ».

Dans le contexte des systèmes d’information, il possède un sens plus spécifique : celui d’un procédé de vérification de l’identité et d’authentification d’un individu en utilisant des caractéristiques inhérentes à sa personne (ex : son visage, sa démarche, son empreinte digitale…).

Grâce à ce procédé, une personne est identifiée à partir de ce qu’elle est, par opposition aux systèmes d’identification basés sur ce qu’elle sait (par exemple, un mot de passe) ou ce qu’elle possède (par exemple, une pièce d’identité).

Potentiellement la plus robuste de ces méthodes d’authentification, cette solution est également celle qui présente les risques les plus importants en cas de violation des données.

Les données biométriques ne sont en effet pas des données comme les autres : elles permettent à tout moment l'identification de la personne sur la base d'une réalité biologique qui lui est propre, qui perdure dans le temps et dont elle ne peut s'affranchir.

Toute violation ou détournement de l’usage de ces données entraîne donc des atteintes importantes aux droits et libertés des personnes concernées.

Si l’on peut en effet changer un mot de passe compromis, on ne peut faire de même avec une caractéristique biométrique compromise, qui continuera quoi qu’il en soit d’identifier un individu tout au long de sa vie : les conséquences d'une violation sur de telles données peuvent être irréversibles.

Prenant en compte ces particularités, le RGPD qualifie les données biométriques de "données sensibles". Cette qualification a une conséquence : le traitement de données biométriques est en principe interdit, sauf certaines exceptions limitativement prévues par le texte.

Au-delà des missions définies et des pouvoirs consacrés par le RGPD aux autorités de protection des données nationales en Europe, le Législateur français a doté la CNIL de nouveaux instruments de régulation.

Parmi ces nouveaux outils a été confié à la CNIL le pouvoir d’établir, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, « des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ».

Ce règlement type constitue un pouvoir réglementaire de la Commission et est à ce titre un instrument juridiquement contraignant pour les organismes.

C’est pourquoi, à la différence des autres outils normatifs qu’elle peut adopter (tels que les référentiels, les recommandations ou encore les anciennes autorisations uniques et actes règlementaires uniques etc.), le respect du règlement type est obligatoire pour tout organisme souhaitant mettre en place un dispositif biométrique dans le champ d’application qu’il couvre.

En d’autres termes, à défaut de le respecter, un tel traitement ne peut être mis œuvre.

L'objet du présent règlement type "biométrie sur les lieux de travail" est donc de fixer les règles applicables aux organismes publics et privés pour le contrôle d'accès aux locaux, aux applications et aux outils de travail, tout en instaurant des garanties fortes pour les employés.

Ce règlement type a vocation à s’appliquer à toute utilisation des données biométriques imposée par un employeur de droit public ou privé à son personnel au sens large (employés, stagiaires, salariés intérimaires, bénévoles, personnes en service civique, agents des trois fonctions publiques, etc.) pour contrôler les accès aux locaux, aux applications et aux outils professionnels.

Il ne s’applique pas aux traitements de données biométriques poursuivant une finalité autre que celle de contrôle des accès sur les lieux de travail. D’autres règlements types pourront à cet égard être établis par la CNIL pour régir d’autres traitements de données biométriques.

En substance, le règlement type :

• encadre le recours à la biométrie à des fins de contrôle des accès aux locaux, au matériel ou encore aux applications de travail ;
• oblige l’organisme à justifier le recours à la biométrie, par des considérations spécifiques (contexte, enjeux, contraintes techniques et règlementaires particulières, etc.) particulièrement détaillées pour les types de biométrie présentant le plus de risques ;
• oblige l’organisme à respecter un cahier de charges rigoureux en ce qui concerne les mesures de sécurité organisationnelles et techniques ;
• impose aux organismes de justifier et de documenter les différents choix effectués lors de la mise en place des dispositifs biométriques ;
• rappelle et renforce certaines obligations issues du RGPD, notamment celle d’informer les personnes concernées ;
• exige des responsables de traitement la réalisation d’une « analyse d’impact relative à la protection des données ».

Il s’agit de l’ensemble du système informatisé permettant de « traiter » (acquérir, numériser, exploiter, effacer etc.) les données biométriques dans l’objectif de contrôler les accès.

Ce système peut être composé :

• d’éléments physiques ou « matériels », tels qu’un lecteur d’empreinte digitale, un serveur relié aux portes d’entrée d’un local qui valide leur ouverture pour le personnel autorisé,  un terminal sur lequel s’effectue la saisie des données biométriques, l’ensemble des supports tels que des badges sur lesquels sont stockées les données biométriques, etc. ;
• d'éléments logiques ou « logiciels », tels que les différentes interfaces d’administration et de gestion du dispositif biométrique, les systèmes d’exploitation sur lesquels de telles interfaces sont installées, etc.

Cette définition, très large, permet d’imposer les mesures de sécurité à l’ensemble des composants d’un dispositif biométrique, de manière à garantir aux données biométriques un niveau élevé de protection quelle que soit l’étape de leur traitement.

Il s’agit de la personne, physique ou morale, qui détermine « les finalités et les moyens du traitement ». De manière plus simple, il s’agit de l’entité juridique qui décide de la mise en place du dispositif biométrique et choisit ses modalités.

Dans le contexte des relations de travail, c’est l’employeur, au sens de la personne morale, qui possède le plus souvent cette qualité.

En pratique, il est fréquent que la conception et l’installation d’un système de contrôle d’accès biométrique soit confiée à un prestataire tiers.

Ce prestataire sera qualifié de sous-traitant au sens du RGPD car il ne fait qu’agir pour le compte et sur instructions de l’organisme employeur : c’est donc bien ce dernier, qui a pris la décision d’installer le  dispositif biométrique qui devra être reconnu comme responsable du traitement.

Le responsable de traitement qui souhaite avoir recours à un sous-traitant doit donc veiller à ne faire appel qu’à des organismes présentant des garanties suffisantes : un contrat rappelant leurs obligations  respectives en matière de protection des données devra être établi entre eux.

Oui.

Tout organisme public (collectivités locales, ministères, etc.) mettant en œuvre, en tant qu’employeur,  un traitement biométrique de contrôle d'accès aux locaux, aux applications et aux outils de travail doit appliquer ce règlement type.

En revanche, le présent règlement type n’a pas vocation à s’appliquer aux traitements biométriques mis en œuvre pour le compte l’Etat agissant, non pas en tant qu’employeur, mais dans le cadre de ses prérogatives de puissance publique. Le règlement-type ne s’applique pas non plus aux traitements de données relevant de la directive « Police Justice ».

La définition des « données biométriques » du RGPD englobe tous les types d’analyses des  caractéristiques morphologiques (empreinte digitale, forme de la main, iris...), biologiques (salive, sang, ADN...) ou comportementales (démarche...).

Etant donné le caractère particulièrement invasif de tels procédés qui ne se font de plus que dans des contextes très particuliers (actions en recherche de paternité, des enquêtes judiciaires, etc.), la Commission a pris parti d'exclure totalement leur utilisation à des fins de contrôle d'accès aux locaux professionnels et aux outils de travail.

En revanche, le règlement type ne prévoit pas d’obligation, pour les employeurs, de privilégier le recours à certaines caractéristiques biométriques plutôt qu’à d’autres (empreinte digitale, réseau veineux d’une main, image de l’iris, visage...).

Il appartiendra donc aux responsables de traitement d’effectuer et de justifier le choix d’une ou des caractéristiques biométriques requises.

Si le besoin de contrôler l'accès aux locaux professionnels est, en tant que tel, légitime pour un organisme employeur, les moyens mis en œuvre pour assurer ce contrôle doivent respecter le principe de proportionnalité. L’employeur devra donc justifier, de manière très concrète, son besoin de mettre en œuvre un dispositif biométrique, par rapport à d’autres solutions de contrôle moins intrusives.

Tant le statut spécifique des données biométriques que les risques particuliers inhérents à leur traitement vont donc limiter les hypothèses dans lesquelles un responsable de traitement pourra effectivement avoir recours aux dispositifs biométriques sur les lieux de travail.

Pour ce faire, il lui appartiendra de :

• justifier d'un contexte spécifique rendant nécessaire un niveau de protection élevé, par exemple la manipulation des machines ou produits particulièrement dangereux, l'accès à des fonds ou des objets de valeur, à du matériel ou produits faisant l’objet d’une réglementation spécifique (substances psychotropes et leurs précurseurs, produits chimiques pouvant être utilisés pour la fabrication d’armes, etc.);
• démontrer l'insuffisance ou l'inadéquation des moyens moins intrusifs tels qu’un badge ou un code d’accès (par exemple, environnement dans lequel une identification forte est nécessaire pour prévenir une usurpation d’identité en cas de vol de badge ou d’interception des codes d’accès).

Lors de l’enregistrement d'un utilisateur dans un dispositif biométrique (appelé aussi « processus d’enrôlement »), le système effectue un ensemble de mesures de certaines des caractéristiques morphologiques (empreinte digitale, forme de la main, iris...), biologiques (urine, sang...) ou comportementales (démarche, dynamique de tracé de signature...) de la personne concernée.

Ces mesures mémorisées s'appellent "gabarit" ou "template" en anglais.

La typologie de gabarits retenue dans le règlement type traduit le niveau de maîtrise que les personnes concernées (salariés, stagiaires, etc.) possèdent sur la manière dont leurs données biométriques sont conservées par le responsable du traitement.

A des fins de lisibilité et d’effectivité, le règlement-type distingue trois grands types de dispositifs biométriques.

a. Le "type 1" ou gabarit sous maîtrise exclusive de la personne concernée.

Dans le type 1, les supports de stockage des gabarits sont individuels (un support donné ne peut contenir qu'un seul gabarit) et détenus par chaque salarié concerné lui-même (sans qu'aucune copie ne soit conservée par l'employeur ou les prestataires techniques).

Concrètement, il peut s'agir d'une carte ou d'un badge équipés d'une puce sur laquelle le gabarit est stocké. Ce support est remis au salarié qui doit alors le présenter lors du contrôle d’accès en même temps que la caractéristique biométrique enregistrée : le dispositif va alors comparer le gabarit stocké sur ce support à la caractéristique biométrique (iris, empreinte digitale, etc.) présentée au terminal du dispositif.

Le recours à ce type de dispositif permet l'identification et l'authentification des salariés, tout en limitant le risque d'accès non-autorisé à leurs données biométriques : dans la mesure où il n'existe pas de base de données centralisée des gabarits biométriques de l'ensemble des employés, il est impossible de la pirater.

b. Le "type 2" ou gabarit sous maîtrise partagée.

Dans ce schéma, une base de données contenant les gabarits de l'ensemble des employés, existe.

Toutefois, ces données sont chiffrées de manière à ce qu'aucune donnée ne puisse être lue et exploitée sans l'intervention de l'individu concernée. Pour cela, chaque individu se voit attribuer un élément personnel (une information, par exemple un code, ou un objet comme par exemple un badge) qui doit être présenté au dispositif au moment de l'authentification.

A supposer qu'une telle base de données soit compromise (par exemple, suite à une attaque externe ou une fuite de données en interne), le risque pour les personnes concernées de voir leurs données biométriques exposées demeurera très faible car les données seront illisibles.

c. Le "type 3" ou gabarit sous maîtrise exclusive du responsable de traitement

Dans cette hypothèse, les gabarits de l'ensemble des salariés sont conservés dans une base de données centralisée. Le salarié n'a aucune maîtrise sur le support du stockage, et n'a pas à communiquer au dispositif un secret permettant de déchiffrer le gabarit.

Si cette solution présente certains avantages opérationnels (pas de code à mémoriser ou de badge à porter pour le salarié), ils sont assortis de risques particulièrement importants pour les droits et libertés des salariés.

L'existence d'une base centralisée rend en effet possible une fuite de ces données, fuite qui peut potentiellement exposer de manière irréversible des données biométriques des personnes concernées.

Dans la mesure où le stockage de type 1 garantit au mieux les droits et libertés des personnes concernées, c’est sous cette forme-là que les gabarits doivent par principe être conservés.

En effet, le recours aux autres modalités de stockage (type 2 et 3) doit rester exceptionnel et justifié par des considérations spécifiques et étayées.

De telles justifications peuvent notamment concerner des environnements critiques dans lesquels la perte d’un badge ou d’un code aurait des conséquences particulièrement graves pour le déroulement des opérations, notamment en cas d’urgence (ex. : centrales nucléaires, blocs opératoires…), des « chambres blanches » (notamment les laboratoires stériles, les entreprises assujetties à une réglementation spécifique visant à limiter les risques de contamination dans la chaine de production alimentaire), etc.

Si le règlement type contient des règles spécifiques aux traitements de données biométriques, il n’affecte cependant pas les autres règles susceptibles de s’appliquer à l’organisme.

Il en va notamment ainsi pour les dispositions du Code du travail (obligation d’informer et de consulter les instances représentatives du personnel…), pour les autres dispositions du RGPD et de la Loi « Informatique et Libertés » (obligation de nommer un délégué à la protection des données, obligation de tenir un registre des activités de traitement, obligation d’information en cas de violation des données, voire demande d’avis dans certains cas…), ou plus généralement, toute autre règle de droit français ou européen applicable.

Non, un consentement des salariés n’est pas nécessaire.

En effet, pour qu’un consentement soit valable, le RGPD impose qu’il soit donné librement, en plus d’être spécifique, éclairé et matérialisé par une action positive de la personne. Or, dans le contexte professionnel, l’existence du lien hiérarchique entre l’employeur et ses subordonnés créé de fait un déséquilibre dans les relations susceptible d’affecter le caractère libre du consentement : c’est pour cette raison que le consentement ne peut que très rarement être retenu en tant que fondement juridique d’un traitement de données sur le lieu de travail.

C’est pourquoi un autre fondement juridique doit être préféré qui peut être parfois l’obligation légale ou plus fréquemment l’intérêt légitime du responsable de traitement : en tout état de cause et quel que soit le fondement juridique du traitement invoqué, le responsable de traitement doit respecter le règlement type dès lors que le dispositif biométrique vise la finalité de contrôle d’accès aux locaux, applicatifs ou outils professionnels.

Néanmoins, un employeur qui souhaiterait se fonder sur le consentement des salariés devra alors tout particulièrement s’assurer de l’existence d’une véritable liberté de choix pour ces derniers : une solution alternative équivalente (badge, mot de passe, etc.) devra donc être offerte aux personnes de manière à ce que celles-ci puissent choisir l’option qui leur convient le mieux, sans qu’aucune conséquence (négative comme positive) ne puisse influencer ce choix.

A une logique de formalités préalables, le RGPD y substitue une logique de responsabilisation dynamique (dite « accountability ») de l’organisme qui devient désormais comptable auprès de l’autorité de protection de données compétente de la conformité des traitements qu’il met en œuvre.

L’organisme employeur doit donc mener en interne une réflexion, consignée par écrit, sur son besoin de mettre en place un traitement de données biométriques et sur la proportionnalité des modalités de sa mise en œuvre. La documentation correspondante doit pouvoir être produite en cas de contrôle par la CNIL.

Ainsi, le choix de recourir aux modalités de détention du gabarit biométrique garantissant une moindre maîtrise de la personne, en particulier du type 3, doit faire l’objet d’une documentation particulièrement circonstanciée.

Il doit également, de manière plus globale, mener et documenter la réflexion sur les risques pour les droits et intérêts des personnes concernées ainsi que, le cas échéant, des mesures prises pour limiter ces risques : c’est tout l’objet de l’« analyse d’impact relative à la protection des données » (AIPD) qui doit obligatoirement être effectuée avant la mise en œuvre du traitement.

Elle doit être mise à jour régulièrement, et au moins tous les trois ans, concernant notamment l’évaluation des risques ainsi que les mesures de sécurité supplémentaires qui en découleraient.