Point sur le périmètre autorisé de la biométrie au travail

La Cnil a publié plusieurs décisions sur l’usage de la biométrie dans le milieu du travail durant l’année 2015.

C’est l’occasion de revenir sur le périmètre autorisé de cet usage. Parce qu’elle permet l’identification d’une personne par ses caractéristiques physiques, biologiques voire comportementales, la biométrie est considérée comme une technologie particulièrement sensible au regard de la règlementation Informatique et libertés et son usage est soumis à une autorisation préalable de la Cnil.

Finalités autorisées par la Cnil – Concernant l’utilisation de la biométrie sur les lieux de travail, la Cnil a défini dans plusieurs autorisations uniques (1) les finalités pour lesquelles elle autorisait le recours à cette technologie. Il s’agit :

• des traitements mis en œuvre par des organismes privés ou publics reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la restauration sur les lieux de travail (Autorisation unique n° AU-007) ;
• des dispositifs biométriques mis en œuvre par des organismes privés ou publics reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l’accès aux locaux sur les lieux de travail (Autorisation unique n° AU-008) ;
• des traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main et ayant pour finalité l’accès au restaurant scolaire, mis en œuvre par des établissements publics locaux d’enseignement du second degré et des établissements privés d’enseignement du second degré (Autorisation unique n° AU-009).

Dans quatre décisions rendues le 15 octobre 2015 (2), la Cnil a autorisé la mise en place de dispositifs biométriques à des fins de contrôle de l’accès aux locaux professionnels identifiés comme sensibles, validant à nouveau le principe du recours à la biométrie pour cette finalité.

Finalités rejetées par la Cnil – En revanche, dans cinq décisions rendues entre mars et juin 2015 (3), la Cnil a refusé d’autoriser la mise en place de dispositifs biométriques à des fins de suivi et de contrôle des horaires des salariés.

Historiquement, le champ d’application de l’autorisation unique n° AU-007 couvrait pourtant la gestion des horaires du personnel. En 2012, cette finalité a toutefois été exclue, la Cnil considérant désormais la biométrie comme un moyen disproportionné d’atteindre une finalité de contrôle des horaires.

Saisie de demandes d’autorisation par des entreprises souhaitant utiliser la biométrie à des fins de suivi et contrôle des horaires, la Cnil a eu l’occasion de réaffirmer sa position à plusieurs reprises en 2013, en 2014 et également en 2015.

Dans les cinq délibérations précitées, la Cnil a indiqué que toute demande d’autorisation pour l’installation d’un dispositif biométrique devait « s’inscrire dans le cadre de circonstances exceptionnelles fondées sur un impératif spécifique de sécurité (…) qui seraient susceptibles de justifier, notamment, la proportionnalité du recours à un dispositif biométrique ».

La simplification de l’identification du collaborateur, la possibilité de palier aux oublis et pertes de badges, la vérification de l’identité du collaborateur ayant pointé ou la possibilité de minimiser les risques d’erreur notamment sont autant de raisons refusées par la Cnil pour justifier le recours à la biométrie sur les lieux de travail.

Techniques biométriques – Dans les décisions de 2015 rendues à propos du suivi et contrôle des horaires des salariés, les dispositifs envisagés étaient basés sur la reconnaissance du contour de la main ou celle des empreintes digitales des salariés.

Dès lors que la finalité revendiquée apparaissait disproportionnée aux yeux de la Cnil, peu importait que le système utilisé soit :

• un dispositif “à trace” tel que la reconnaissance de l’empreinte digitale ou ;
• un dispositif sans trace tel que la reconnaissance du contour de la main, ces dispositifs présentant pourtant des risques moindres en termes d’usurpation d’identité, dans la mesure où les caractéristiques biométriques utilisées peuvent plus difficilement être capturées à l’insu d’une personne.

En revanche, dans les quatre décisions rendues le 15 octobre 2015, la Cnil a autorisé la mise en place de dispositifs biométriques multimodaux à des fins de contrôle de l’accès aux locaux professionnels. La particularité des dispositifs présentés résidait dans le recours à des dispositifs biométriques bimodaux, fondés à la fois sur la reconnaissance de l’empreinte digitale et du réseau veineux d’un individu et permettant ainsi d’améliorer les performances du dispositif.

Synthèse – En dehors des finalités de contrôle d’accès aux locaux et à la restauration validés par la Cnil notamment dans le cadre de ses autorisations uniques, l’installation de dispositifs biométriques sur les lieux de travail doit répondre à un impératif spécifique de sécurité.

La démonstration des circonstances exceptionnelles justifiant le recours à la biométrie pourrait alors passer par la réalisation d’une analyse d’impact justifiant le recours à cette technologie en réponse à un risque particulier qui aurait été identifié.

La technique biométrique utilisée et son niveau de performance pourront alors être mis en avant afin de justifier la proportionnalité du recours à cette technologie.

Alain Bensoussan Avocats
Lexing, Droit Informatique et libertés

(1) Afin de simplifier les formalités préalables pour les responsables de traitement, la Cnil a adopté plusieurs autorisations uniques, décrivant chacune des traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires. Un organisme souhaitant mettre en place un dispositif biométrique qui serait couvert en tous points par l’une des autorisations uniques de la Cnil n’a alors qu’à adresser à la Cnil un engagement de conformité à cette autorisation unique. En revanche, si le dispositif envisagé n’est pas couvert par une autorisation unique, le responsable du traitement doit adresser à la Cnil une demande d’autorisation spécifique décrivant le dispositif en cause.
(2) Délib. 2015-363 du 15-10-2015 ; Délib. 2015-361 du 15-10-2015 ; Délib. 2015-362 du 15-10-2015 ; Délib. 2015-360 du 15-10-2015.
(3) Délib. 2015-176 du 11-6-2015 ; Délib. 2015-141 du 7-5-2015 ; Délib. 2015-140 du 7-5-2015 ; Délib. 2015-087 du 5-3-2015 ; Délib. 2015-088 du 5-3-2015.