| Sommaire BO courant | Archives BO | Table des matières cumulée BO | Sommaire RMLR |
Vu CON. n° 108 du 28-01-1981 du Conseil de l’Europe ; DIR. 95/46/CE du Parlement européen et du Conseil du 24-10-1995 ; L. n° 78-17 du 06-01-1978, not. art. 25 (8°) ; Code du travail, not. art. L. 120-2, L. 121-8, L. 143-14, L. 212-1 et suivants, L. 236-3, L. 412-17, L. 424-3, L. 432-2, L. 432-2-1, L. 434-1, L. 611-9, L. 620-2 ; L. n° 83-634 du 13-07-1983 ; L. n° 84-16 du 11-01-1984 ; L. n° 84-53 du 16-01-1984 ; L. n° 86-33 du 09-01-1986 ; D. n° 82-452 du 28-05-1982 ; D. n° 2005-1309 du 20-10-2005 ; après avoir entendu M. H. Bouchet, commissaire, en son rapport, et Mme P. Compagnie, commissaire du Gouvernement, en ses observations.
La CNIL formule les observations suivantes :
La gestion des contrôles de l’accès physique à l’entrée des lieux de travail et dans les zones limitativement identifiées de l’organisme faisant l’objet d’une restriction de circulation peut s’effectuer grâce à la mise en oeuvre de traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance des l’empreintes digitales avec enregistrement de celles-ci sur un support individuel.
Dès lors, de tels dispositifs relèvent de l’article 25 (8°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes. Il y a lieu, en l’état des connaissances sur la technologie utilisée, de faire application des dispositions de l’article 25- II aux termes duquel les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission.
Le responsable de traitement mettant en oeuvre un dispositif reposant sur la reconnaissance de l’empreinte digitale avec enregistrement sur un support individuel dans le respect des dispositions de cette décision unique adresse à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation ;
Décide que les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en oeuvre ces traitements.
Art. 1er. - Finalités et caractéristiques techniques du traitement.
Seuls peuvent faire l’objet d’un engagement de conformité en référence à la présente décision unique les traitements reposant sur un dispositif de reconnaissance des empreintes digitales avec enregistrement de celles-ci sur un support individuel, mis en oeuvre par les organismes privés ou publics, à l’exception des traitements mis en oeuvre :
– pour le compte de l’Etat ;
– par les établissements accueillant des mineurs, lorsque les personnes concernées sont des mineurs.
Ces traitements peuvent uniquement avoir pour finalité le contrôle des accès à l’entrée et dans les locaux limitativement identifiés de l’organisme faisant l’objet d’une restriction de circulation, à l’exclusion de tout contrôle des horaires des employés.
Le dispositif de reconnaissance des empreintes digitales doit présenter les caractéristiques suivantes :
– seul le gabarit de l’empreinte digitale, clé biométrique résultat du traitement des mesures par un algorithme, est enregistré sur le support individuel et non une image ou une photographie de l’empreinte digitale ;
– on entend par support individuel tout support de stockage dont la personne concernée a un contrôle exclusif, tel qu’une carte à puce ou magnétique ;
– le gabarit de l’empreinte digitale de la personne concernée est exclusivement enregistré sur un support individuel détenu par elle seule et dont le contenu ne peut être lu à son insu ;
– lors de l’enrôlement, un enregistrement temporaire du gabarit de l’empreinte digitale peut être effectué sur le poste informatique servant à l’enrôlement pour les stricts besoins de son inscription dans la mémoire du support individuel et sous réserve qu’il soit effacé à l’issue de cette phase qui ne saurait excéder quelques secondes ;
– le contrôle d’accès s’effectue par une comparaison entre le doigt apposé sur le lecteur et le gabarit de l’empreinte digitale enregistré sur le support individuel sans qu’aucune copie de ce gabarit, même temporaire, ne soit effectuée ;
– à l’exclusion des gabarits des empreintes digitales, certaines données nécessaires à l’identification de la personne et à la réalisation des contrôles relatifs à la validité du badge peuvent être enregistrées dans un serveur dédié au contrôle des accès.
Art. 2. - Données à caractère personnel traitées.
Seules les données à caractère personnel suivantes peuvent être traitées :
a) Identité : nom, prénom, photographie, numéro de carte et gabarit de l’empreinte digitale ;
b) Vie professionnelle : numéro de matricule interne, corps ou service d’appartenance, grade ;
c) Déplacement des personnes : porte utilisée, zones et plages horaires d’accès autorisées, date et heure d’entrée et de sortie ;
d) En cas d’accès à un parking : numéro d’immatriculation du véhicule, numéro de place de stationnement.
S’agissant des visiteurs, outre les catégories de données relatives à l’identité et au déplacement des personnes, l’indication de la société d’appartenance et du nom de l’employé accueillant le visiteur peuvent être traitées.
Art. 3. - Destinataires des informations.
Dans la limite de leurs attributions respectives et pour l’exercice des finalités précitées, seules peuvent être destinataires des données :
– les personnes habilitées du service du personnel : identité, vie professionnelle, déplacement des personnes et informations en relation avec la gestion du parking ;
– les personnes habilitées du service gérant la sécurité des locaux : identité, déplacement des personnes, vie professionnelle et informations en relation avec la gestion du parking.
Les personnes habilitées énumérées ci-dessus ne peuvent avoir accès au gabarit de l’empreinte digitale que de façon temporaire et pour les stricts besoins de son inscription sur le support individuel ou de sa suppression.
Art. 4. - Durée de conservation.
La durée de conservation du gabarit de l’empreinte digitale est égale au temps pendant lequel la personne concernée est habilitée à pénétrer dans les locaux ou les zones limitativement identifiées de l’organisme faisant l’objet d’une restriction de circulation.
Les catégories de données relatives à l’identité, à la vie professionnelle et à la gestion du parking peuvent, au maximum, être conservées cinq ans après le départ de l’employé.
Les éléments relatifs aux déplacements des personnes ne doivent pas être conservées plus de trois mois.
S’agissant des visiteurs, les catégories de données relatives à l’identité, à la vie professionnelle et à la gestion du parking peuvent, au maximum, être conservées trois mois à compter de la date de la dernière visite.
Art. 5. - Liberté de circulation des employés protégés.
Les contrôles d’accès aux locaux du responsable de traitement et aux zones limitativement désignées, faisant l’objet d’une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent, ne doivent pas entraver la liberté d’aller et venir des employés protégés dans l’exercice de leurs missions.
Art. 6. - Mesures de sécurité.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et, notamment, pour empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
Les accès individuels au traitement s’effectuent par un identifiant et un mot de passe individuel, régulièrement renouvelé, ou par tout autre moyen d’authentification.
Art. 7. - Information des personnes.
Le responsable du traitement procède également, conformément aux dispositions des articles L. 432-2 et L. 432 -2-1 du code du travail et à la législation applicable aux trois fonctions publiques, à l’information et à la consultation des instances représentatives du personnel avant la mise en oeuvre des traitements visés à l’article 1er.
L’information des employés sera effectuée, conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée en août 2004, par la diffusion à chaque personne concernée, préalablement à la mise en oeuvre du traitement, d’une note explicative.
Art. 8. - Exercice des droits d’accès et de rectification.
Le droit d’accès défini au chapitre V de la loi du 6 janvier 1978 modifiée s’exerce auprès du ou des services que le responsable de traitement aura désignés.
Art. 9. - Tout traitement automatisé de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance de l’empreinte digitale avec enregistrement sur un support individuel qui n’est pas conforme aux dispositions qui précèdent doit faire l’objet d’une demande d’autorisation auprès de la commission dans les formes prescrites par les articles 25 (8°) et 30 de la loi du 6 janvier 1978 modifiée.
Art. 10. - La présente délibération sera publiée au Journal officiel de la République française.
Le Président,
A. TÜRK
1 Pour tout renseignement, contacter la Direction des systèmes d’information du CNRS à l’adresse suivante : dsicnil@dsi.cnrs.fr