Les règles d'usage de la biométrie en entreprise

16/02/2007 à 00h00

Parmi les dispositifs utilisant l'empreinte digitale, le contour de la main ou la reconnaissance de la rétine, on distingue les systèmes ' sans trace ' et ' à trace ', aux conditions d'emploi strictement encadrées.

Les conditions de mise en ?"uvre

D'une manière générale, la Cnil (Commission nationale de l'informatique et des libertés) n'autorise que les dispositifs selon lesquels les données biométriques, telles les empreintes digitales, sont enregistrées exclusivement sur un support individuel (carte à puce, clé USB), et non dans une base de données centralisée. La Cnil distingue trois cas spécifiques : lorsque les dispositifs de reconnaissance du contour de la main servent au contrôle d'accès ainsi qu'à la gestion des horaires et de la restauration sur les lieux de travail ; lorsque ces dispositifs constituent un moyen d'accès aux restaurants scolaires ; et lorsque les supports individuels sur lesquels sont conservées les données restent placés sous le contrôle exclusif de la personne concernée. Dans ces trois cas de figure, la Cnil a prévu des formalités allégées, baptisées ' autorisations uniques '⁽¹⁾, sortes de décisions cadres autorisant les responsables des traitements à opérer une déclaration de conformité. Mais il faut que les traitements répondent en tout point aux finalités, caractéristiques techniques, données traitées, durée de conservation des données, moyens de sécurité et droits des personnes concernées définis par la Cnil.

L'importance des techniques utilisées

La Cnil a toujours considéré que les dispositifs dits ' sans trace ' - qui reposent essentiellement sur l'utilisation de techniques de reconnaissance de la rétine⁽²⁾ ou du contour de la main - ne permettent pas d'identifier un individu à son insu, en collectant ses données biométriques sans qu'il s'en aperçoive. Et comme il ne s'agit pas pour la Commission de traitements de données biométriques dangereux, elle autorise en général leur mise en ?"uvre. A l'opposé, elle juge que les dispositifs dits ' à trace ', en particulier ceux utilisant la reconnaissance par empreinte digitale, s'avèrent dangereux, car ils donnent la possibilité de collecter les données biométriques d'une personne à son insu. La Cnil autorise ces derniers lorsqu'il existe un impératif fort de sécurité (le contrôle aux frontières, par exemple), mais également dans des cas comme l'accès de salariés à des locaux sécurisés. Enfin, elle les autorise lorsque les données sont stockées sur un support individuel (de type carte à puce).(1) Autorisations uniques, n?' AU-007 à 009, Délib. Cnil n?' 2006-101 à 103 du 27/04/2006.
(2) Communiqué de la Cnil du 05/1/2007.

À retenir

Si le traitement se montre conforme à l'une des décisions cadres (' autorisations uniques '), établies par la Cnil, une simple déclaration de conformité suffit. Cette démarche peut être réalisée en ligne sur le site de la Commission (www.cnil.fr).
Le responsable de traitement de données biométriques doit permettre aux personnes concernées par des informations qu'il détient d'exercer pleinement leurs droits. Et ces personnes doivent être informées individuellement lors de la mise en place du dispositif.
S'agissant d'outils de contrôle, la mise en place de dispositifs de type biométrique fait également l'objet d'une procédure d'information et de consultation du comité d'entreprise, au titre de larticle L. 432-2 du code du travail.

Alain Bensoussan

Votre opinion