Vous souhaitez acquérir un dispositif de contrôle d’accès électronique avec reconnaissance biométrique ? Empreinte digitale, contour de la main, réseau veineux, visage, iris, voix… Toutes ces technologies requièrent une déclaration auprès de la CNIL. Découvrez quelles dont les démarches à entreprendre et quelles sont les autorisations à déclarer selon le type de matériel biométrique concerné. TimeKeys vous dit tout.
1. CNIL et biométrie empreinte digitale pour un accès au lieu de travail : Déclaration de conformité AU – 008
– Résumé
L’autorisation unique n°8 concerne les dispositifs biométriques utilisant la reconnaissance de l’empreinte digitale pour des systèmes de contrôle d’accès aux locaux sur les lieux de travail :
– dès lors que le gabarit de l’empreinte digitale est exclusivement enregistrée sur un support individuel. Les données enregistrées sont limitativement énumérées par l’autorisation unique
– les destinataires de ces données sont les personnes habilitées du service du personnel et celles habilitées du service gérant la sécurité des locaux
– les durées de conservation sont également définies de façon très précise et ne peuvent excéder 5 ans après le départ de l’employé, 3 mois s’agissant du déplacement des personnes et des visiteurs
– les représentants du personnel doivent être consultés préalablement à la mise en œuvre de tels dispositifs et les employés doivent être individuellement informés par la diffusion d’une note explicative.
– Objectifs poursuivis – finalités
Ces traitements peuvent uniquement avoir pour finalité : le contrôle des accès à l’entrée et dans les locaux limitativement identifiés de l’organisme faisant l’objet d’une restriction de circulation, à l’exclusion de tout contrôle des horaires des employés.
– Le dispositif de reconnaissance des empreintes digitales doit présenter les caractéristiques suivantes : seul le gabarit de l’empreinte digitale, clé biométrique résultat du traitement des mesures par un algorithme, est enregistré sur le support individuel et non une image ou une photographie de l’empreinte digitale. On entend par support individuel tout support de stockage dont la personne concernée a un contrôle exclusif, tel qu’une carte à puce ou magnétique.
– Le gabarit de l’empreinte digitale de la personne concernée est exclusivement enregistré sur un support individuel détenu par elle seule et dont le contenu ne peut être lu à son insu.
– Lors de l’enrôlement, un enregistrement temporaire du gabarit de l’empreinte digitale peut être effectué sur le poste informatique servant à l’enrôlement pour les stricts besoins de son inscription dans la mémoire du support individuel et sous réserve qu’il soit effacé à l’issue de cette phase qui ne saurait excéder quelques secondes.
– Le contrôle d’accès s’effectue par une comparaison entre le doigt apposé sur le lecteur et le gabarit de l’empreinte digitale enregistré sur le support individuel sans qu’aucune copie de ce gabarit, même temporaire, ne soit effectuée.
– A l’exclusion des gabarits des empreintes digitales, certaines données nécessaires à l’identification de la personne et à la réalisation des contrôles relatifs à la validité du badge peuvent être enregistrées dans un serveur dédié au contrôle des accès.
– Utilisations exclues
– Traitement de données concernant des mineurs au sein d’un établissement (ayant mission de service public) accueillant des mineurs
– Contrôle horaire des salariés.
Voir la déclaration complète AU-008 sur le site de la CNIL : cliquez ici
2. CNIL et biométrie du réseaux veineux de la main sur les lieux de travail – Déclaration de conformité AU-019
– Résumé
L’autorisation unique n°19 concerne les dispositifs biométriques utilisant la reconnaissance du réseau veineux des doigts de la main mis en œuvre aux fins de contrôler l’accès aux locaux sur les lieux de travail.
– Les données enregistrées sont limitativement énumérées par l’autorisation unique. Les destinataires de ces données sont les personnes habilitées du service du personnel et celles du service gérant la sécurité des locaux. Les durées de conservation sont également définies de façon très précise et ne peuvent excéder 5 ans après le départ de l’employé, 3 mois s’agissant du déplacement des personnes et des visiteurs.
– Les représentants du personnel doivent être consultés préalablement à la mise en œuvre de tels dispositifs. Les employés doivent être individuellement informés par la diffusion d’une note explicative.
– Objectifs poursuivis – Finalité
– Ces traitements peuvent uniquement avoir pour finalité le contrôle des accès à l’entrée et dans les locaux limitativement identifiés de l’organisme faisant l’objet d’une restriction de circulation, à l’exclusion de tout contrôle des horaires des employés.
Le dispositif de reconnaissance du réseau veineux doit présenter les caractéristiques suivantes :
– seul le gabarit du réseau veineux du doigt, clé biométrique résultat du traitement des mesures par un algorithme, est enregistré et non une image ou une photographie du réseau veineux.
– le gabarit du réseau veineux du doigt de la personne concernée est exclusivement enregistré sous une forme chiffrée soit dans la mémoire du terminal de lecture/comparaison qui ne dispose d’aucun port de communication permettant l’extraction de ce gabarit, soit sur un support individuel sécurisé qui reste en possession de la personne devant être authentifiée par le dispositif.
– l’enrôlement des caractéristiques biométriques des personnes s’effectue exclusivement à partir du terminal de lecture/comparaison.
– le contrôle d’accès s’effectue par une comparaison entre le doigt apposé sur le lecteur et le gabarit du réseau veineux du même doigt enregistré dans la mémoire du terminal de lecture comparaison.
– d’autres données nécessaires à l’identification des personnes peuvent être enregistrées dans la mémoire du terminal de lecture comparaison et associées au gabarit du réseau veineux de leur doigt.
Utilisations exclues
– Traitement de données concernant les mineurs
– Contrôle horaire des salariés.
Voir la déclaration complète AU-019 sur le site de la CNIL : cliquez ici
3. CNIL et biométrie du contour de la main pour un accès sur les lieux de travail – Déclaration de conformité AU-007
– Résumé
L’autorisation unique n° 7, modifiée en 2012, concerne les dispositifs biométriques utilisant la technologie de la reconnaissance du contour de la main pour des systèmes de contrôle d’accès et de restauration sur les lieux de travail ou de contrôle d’accès des visiteurs.
– Les données enregistrées sont limitativement énumérées par l’autorisation unique. Seul le gabarit du contour de la main peut être enregistré. Les destinataires de ces données sont également limitativement fixés, en fonction des finalités poursuivies par le traitement. Les durées de conservation sont également définies de façon très précises, et ne peuvent en tous cas excéder 5 ans (et 3 mois s’agissant du déplacement des personnes, de la restauration et des visiteurs).
Les représentants du personnel doivent être consultés préalablement à la mise en œuvre de tels dispositifs et les employés doivent être individuellement informés par la diffusion d’une note explicative.
Mesures transitoires
Les organismes privés et publics ayant effectué un engagement de conformité à l’autorisation unique n°7 telle qu’adoptée le 27 avril 2006 et qui ne respectent plus les conditions fixées par la présente norme disposent d’un délai de cinq ans à compter de la publication de la présente délibération pour mettre en conformité leur traitement avec la présente délibération
– Objectifs poursuivis – Finalités
– Le contrôle des accès à l’entrée et dans les locaux limitativement identifiés de l’organisme faisant l’objet d’une restriction de circulation.
– le contrôle de l’accès au restaurant d’entreprise ou administratif et la gestion de la restauration ainsi que la mise en place d’un système de paiement associé.
– le contrôle d’accès des visiteurs.
– lorsque la finalité poursuivie est le contrôle de l’accès au restaurant d’entreprise ou administratif, le dispositif de reconnaissance du contour de la main peut être interconnecté avec une application de gestion de la restauration ainsi qu’avec un système de paiement associé.
– Utilisation exclue
Traitement de données pour le compte de l’État ou/et concernant des mineurs au sein d’un établissement accueillant.
Voir la déclaration complète AU-007 sur le site de la CNIL : cliquez ici
4. Chronologie des démarches à effectuer
1. Sélectionnez le fichier à déclarer sur le site de la CNIL
Selon votre secteur d’activité (entreprise privée, publique, association…) et le type de biométrie que vous souhaitez installer, la CNIL vous indiquera la déclaration la plus appropriée.
Pour accéder à la rubrique de déclaration d’un fichier auprès de la CNIL, cliquez ici
2. Remplissez le formulaire de demande de déclaration du fichier sur le site de la CNIL
Après avoir choisi la déclaration relative à votre demande de déclaration, vous devrez faire une demande d’autorisation sur le site de la CNIL (formulaire en ligne à remplir).
Voir le lien vers le formulaire : cliquez ici
3. Informez les personnes concernées par le dispositif biométrique
Au moment où vous collectez des données (par exemple, au moyen d’un formulaire) vous devez informer les personnes concernées de leurs droits par des mentions précises. En effet, toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée.
Ce droit de regard sur ses propres données personnelles vise aussi bien la collecte des informations que leur utilisation. Ce droit d’être informé est essentiel car il conditionne l’exercice des autres droits tels que le droit d’accès ou le droit d’opposition.
Toute personne qui met en œuvre un fichier ou un traitement contenant des données personnelles doit informer les personnes fichées de :
– l’identité du responsable du traitement,
– l’objectif de la collecte d’informations,
– le caractère obligatoire ou facultatif des réponses,
– les conséquences de l’absence de réponse,
– les destinataires des informations,
– les droits reconnus à la personne,
– les éventuels transferts de données vers un pays hors de l’Union Européenne.
Modèle de note d’information (mentions légales) pour une entreprise privée :
………………………………… (indication de l’identité du responsable du traitement)
Un dispositif (biométrique) destiné au contrôle de l’accès ……………………………… (Veuillez préciser ici la finalité, par exemple contrôle d’accès à un bâtiment ou à une zone en particulier, contrôle d’accès à un poste informatique ou à une application) a été mis en place.
Les données vous concernant sont conservées au maximum (précisez).
Au-delà, toutes les données sont détruites. Seules les personnes habilitées du service ……………………………… (Veuillez préciser le service – par exemple le service informatique) auront accès à vos données biométriques.
Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous pouvez avoir accès et rectifier les informations qui vous concernent en vous adressant à ……………………………… (Veuillez préciser le service et l’adresse).
Accéder à tous les modèles de mentions légales sur le site de la CNIL, cliquez ici