La Commission nationale informatique et libertés (CNIL) a publié un règlement type à l’intention des organisations désireuses d’encadrer le recours aux procédés biométriques dans les environnements de travail. Le règlement « biométrie sur les lieux de travail» précise les obligations des employeurs souhaitant recourir aux dispositifs biométriques pour contrôler les accès aux espaces, aux applications et aux outils de travail.
La biométrie est souvent présentée comme une alternative ergonomique et efficace à l’usage de mots de passe trop nombreux et trop longs à retenir. En effet, les données biométriques permettent à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, permanente dans le temps et dont elle ne peut s’affranchir. Pour autant, et précisément pour ces raisons, leur traitement génère des risques importants pour les droits et les libertés des personnes, dans l’hypothèse où ces données seraient compromises.
Le règlement européen sur la protection des données (RGPD) a consacré le caractère particulier des données biométriques en les qualifiant de « sensibles », au même titre que les données concernant la santé, les opinions politiques ou les convictions religieuses. Le traitement de ces données sensibles est en principe interdit, sauf certains cas limitativement énumérés.
Pour adapter le droit national à cette évolution des règles européennes, le législateur français a modifié la loi Informatique et Libertés. Les nouvelles dispositions prévoient que des dispositifs de contrôle d'accès biométriques peuvent être mis en place par des employeurs à condition d'être conformes à un règlement type élaboré par la CNIL. Ce règlement type a vocation à s’appliquer à toute utilisation des données biométriques imposée par un employeur de droit public ou privé à son personnel au sens large (employés, stagiaires, salariés intérimaires, bénévoles, personnes en service civique, agents des trois fonctions publiques, etc.) pour contrôler les accès aux locaux, aux applications et aux outils professionnels.
Ce cadre de référence s’inscrit dans la continuité des positions antérieures de la CNIL en matière de biométrie sur les lieux de travail. Il précise aux organismes comment encadrer leurs traitements de données biométriques et revêt un caractère contraignant. Les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans le règlement type.
