Du nouveau sur les contrôles biométriques au travail

La Cnil revoit ses exigences quant à l’utilisation de dispositifs biométriques visant à contrôler l’accès aux lieux et aux équipements de travail.

Lorsque l’employeur décide d’avoir recours à un dispositif biométrique pour contrôler l’accès aux locaux, et aux appareils et applications informatiques utilisés sur les lieux de travail, il doit effectuer une déclaration simplifiée auprès de la Commission nationale de l’informatique et des libertés (Cnil) et se conformer à certaines exigences.

Jusqu’alors, le niveau de ces exigences dépendait du type de biométrie utilisée (voix, empreinte digitale, réseau veineux, iris, contour de la main…).

Précision :le gabarit est également considéré comme détenu par le seul salarié lorsqu’il est intégré dans une base de données mais que celle-ci est inexploitable sans son intervention (entrée d’un mot de passe notamment).

Désormais, les obligations de l’employeur diffèrent selon que l’échantillon des caractéristiques biométriques permettant une comparaison avec le dispositif de contrôle, appelé « le gabarit », est stocké sur un support détenu uniquement par le salarié (clé USB, carte à puce…) ou bien sur un support géré par l’entreprise tel qu’une base de données ou un terminal de lecture des données.

Les entreprises doivent privilégier les dispositifs biométriques pour lesquels le salarié détient le gabarit. Sachant que les contraintes qui pèsent sur l’entreprise sont plus lourdes lorsque c’est elle qui conserve le gabarit.

Délibération Cnil n° 2016-186 du 30 juin 2016, JO du 27 septembre