02 38 61 05 89
LE NOUVEAU REGLEMENT DE LA CNIL RELATIF A LA BIOMETRIE
1505/2019
Le traitement des données sensibles est un sujet plus que d’actualité. Les dispositifs biométriques recueillent entre autres ce type de données.
C’est pourquoi la CNIL renforce son règlement autour de l’utilisation de ces systèmes.
Dès lors, quelles sont les nouvelles règles applicables ?
Les systèmes biométriques :
Pour prouver votre identité sur votre lieu de travail, vous pouvez être amené à faire usage d’un système de badge, de carte, de devoir donner un mot de passe ou un nom.
Vous pouvez également vous identifier à l’aide d’une de vos caractéristiques physiques : empreintes digitales, iris, traits du visage, vos mains, entre autres. C’est ce que l’on appelle plus communément la biométrie.
Les données recueillies à travers ce moyen d’identification doivent être universelles, uniques, idéalement infalsifiables, mesurables et enregistrables (avec l’accord de l’individu concerné).
La CNIL distingue toutefois deux catégories de reconnaissance biométrique : les caractéristiques "à traces" et celles dites "sans traces". Les données à traces sont par exemple le recueil d’une empreinte digitale. Cependant, celle-ci peut être récoltée à l’insu d’un individu.
En revanche, les données sans traces concernent la reconnaissance faciale ou celle de l’empreinte du réseau sanguin d’un individu. Elles sont considérées sans traces car seul l’individu en question a la possibilité de s’identifier, il est impossible d’avoir un réseau sanguin identique par exemple car il diffère en fonction des personnes.
Toutes les catégories de contrôles d’accès biométriques sur un lieu de travail étaient encadrées depuis le 30 Juin 2016. Néanmoins, avec l’arrivée du RGPD, la CNIL a dû apporter certaines modifications. C’est ainsi qu’un nouveau règlement type a été récemment créé et publié.
Le discours de la CNIL :
L’article 9 issu du RGPD précise que le traitement des catégories particulières de données, anciennement connues sous le terme "données sensibles", est en principe interdit.
Cependant, des exceptions faisant référence à des cas particuliers ont été prévues.
Par ailleurs, les données biométriques bénéficient d’une définition plus claire et précise.
Ce qu’il faut retenir :
Deux cas particuliers sont intégrés au règlement et donc dispensés de toute interdiction.
Le premier concerne le contrôle d’accès à des locaux identifiés par la CNIL comme devant faire l’objet d’une restriction de circulation.
Et, le second se réfère au contrôle d’accès aux appareils et applications informatiques professionnels préalablement identifiés par la CNIL.
Ces deux cas de figure ne sont pas les deux seuls pour lesquels il est possible de justifier l’utilisation d’un système de biométrie. En revanche, il sera nécessaire d’apporter des preuves à l’organisme pour en obtenir le droit d’utilisation.
Pour plus d’informations, vous pouvez consulter le document joint à cet article.
