Contrôler l’accès aux lieux de travail grâce aux données biométriques peut être tentant au regard de la fiabilité du dispositif. La biométrie permet d’identifier une personne par rapport à ses caractéristiques physiques ou physiologiques. Mais qu’en est-il de la sécurité des données ? Que dit le règlement européen sur la protection des données à caractère personnel ?
La biométrie : Comment la définit-on ?
La biométrie recense toutes les méthodes informatiques, permettant d’identifier un individu. Il s’agit du moyen le plus pertinent pour identifier et authentifier les salariés. A la différence d’un badge ou d’un mot de passe, il est difficile de se départir d’une caractéristique biométrique ou d’en détourner les données, sous peine de porter atteinte aux droits et libertés des personnes physiques concernées.
Gestion de la biométrie sur le lieu de travail
Aujourd’hui avec l’arrivée du RGPD, les données à caractère personnel sont bien encadrées, sous peine de sanctions pénales.
Une entreprise qui va traiter les données s’assure donc que les enregistrements bruts ne peuvent pas être gardés après leur traitement pour évaluer les gabarits. Aussi, pour assurer la protection des données personnelles, celles-ci ne peuvent pas être gardées après que la personne concernée ait arrêté de travailler dans les locaux. Cela va aider les entreprises à utiliser la biométrie de manière plus intelligente.
Biométrie et environnement professionnel : Critères d’application
Aujourd’hui, la biométrie est intégrée dans de nombreux aspects de la vie professionnelle. Les données à caractère personnel servent à accéder aux locaux, aux applications ou aux ordinateurs, remplaçant le code PIN et les mots de passe. Les prestataires de service doivent donc évaluer les risques lors du traitement des données pour éviter toute fraude ou violation.
Pour prévenir la divulgation et l’utilisation abusive de données personnelles biométriques, l’autorité de contrôle qu’est la cnil, se basant sur le règlement général sur la protection des données, met en place un règlement stipulant les obligations des employeurs :
- Respecter les droits des personnes concernées (droit d’opposition, droit d’accès, droit de rectification…).
- Utilisation limitée à la gestion d’accès aux locaux, aux applications professionnels ou aux outils de travail…
Comment sécuriser une donnée à caractère personnel ?
Pour les entreprises effectuant un traitement de données à caractère personnel, il est recommandé de ne pas les héberger elles-mêmes. Auquel cas, les données collectées et traitées doivent respecter des mesures techniques de sauvegarde et de protection de la vie privée.
Ce type de traitement des données sensibles requiert un DPO. Il a pour mission de s’assurer que le traitement de leurs données reste conforme à leurs finalités et aux dispositions du RGPD. Avec l’aide du responsable du traitement et des sous-traitants, il pourra aussi effectuer une analyse d’impact sur la protection de la vie privée. Lire cet article pour en savoir plus sur la donnée biométrique !
Qu’en est-il des services aux particuliers et de la biométrie ?
La loi relative à la protection de la vie privée entre en vigueur pour l’usage de dispositifs biométriques remis aux particuliers, interagissant avec des serveurs distants, gérés par des organismes tiers. Ces derniers doivent respecter l’intérêt légitime des clients et les données concernant leur vie privée.
Ce que l’organisme doit faire :
- Analyser le traitement des données à caractère personnel ;
- Justifier le recours à la biométrie par des considérations spéciales ;
- Faire une analyse d’impact au regard du caractère sensible des données. Cela permet aussi de prouver sa conformité avec le respect du principe de l’accountability ;
- Respecter l’objet du traitement ;
- Respecter un cahier de charges strict en qui concerne les mesures techniques ;
- Respecter les droits des personnes : effacement, information, suppression des données…
Ces mesures sont ensuite transmises à la commission nationale de l’informatique et des libertés.
Voir aussi
