La Cnil publie son règlement type sur l’utilisation de la biométrie par les employeurs.
Si les employeurs peuvent mettre en place dans leur entreprise des dispositifs biométriques, c’est-à-dire des dispositifs d’identification des salariés basés sur leurs caractéristiques physiques, physiologiques ou comportementales (empreintes digitales, réseau veineux de la main, iris, contour du visage ou de la main, voix…), encore faut-il qu’ils respectent des règles qui viennent d’être mises à jour par la Commission nationale de l’informatique et des libertés (Cnil).
Attention : avant de mettre en place un dispositif biométrique dans son entreprise, l’employeur doit informer et consulter le comité social et économique. Il doit également informer individuellement et par écrit chaque salarié concerné avant de recueillir ses données biométriques.
Dans quel but ?
L’employeur peut installer un dispositif d’identification biométrique pour contrôler l’accès à des locaux devant faire l’objet d’une restriction de circulation et/ou à des appareils et applications informatiques professionnels.
Pour cela, il doit démontrer la nécessité d’utiliser les données biométriques de ses salariés. Il doit donc être en mesure d’expliquer pourquoi le recours à d’autres dispositifs d’identification tels que des badges ou des mots de passe ou à des mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé.
Enfin, avant d’instaurer un dispositif biométrique, l’employeur doit réaliser une analyse d’impact relative à la protection des données qui consiste à identifier les risques pour les droits et libertés des salariés et, au besoin, y remédier.
Quelles données biométriques ?
L’authentification biométrique installée dans l’entreprise ne peut être basée que sur des caractéristiques morphologiques des salariés. Il est interdit de mettre en place un système exigeant un prélèvement biologique (salive, sang, etc.).
En outre, l’employeur doit pouvoir expliquer le choix qu’il a opéré au profit d’une caractéristique biométrique plutôt qu’une autre.
Enfin, sauf exception, les employeurs ne peuvent installer que des dispositifs pour lesquels « le gabarit », c’est-à-dire l’échantillon des caractéristiques biométriques permettant une comparaison avec le dispositif de contrôle, est stocké sur un support détenu uniquement par le salarié (clé USB, carte à puce…).
En complément : le règlement type de la Cnil définit également les obligations à respecter notamment quant aux personnes pouvant avoir accès aux données biométriques et à la durée de conservation de ces données.
Délibération Cnil n° 2019-001 du 10 janvier 2019, JO du 28 mars