Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 553
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 553
    Points : 119 278
    Points
    119 278

    Par défaut Biométrie sur le lieu de travail : la CNIL lance une consultation publique sur le futur règlement type

    Biométrie sur le lieu de travail : la CNIL lance une consultation publique sur le futur règlement type,
    dans l’environnement professionnel,

    Le Règlement général sur la protection des données (RGPD) applicable depuis le 25 mai dernier, modifie le régime juridique des traitements portant sur des données biométriques.

    La mise en place de tels traitements est désormais en principe interdite, sauf certaines exceptions. L’une de ces exceptions concerne les traitements « nécessaires aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail (…) dans la mesure où ce traitement est autorisé par (…) le droit d'un État membre ».

    Pour adapter le droit national à cette évolution des règles européennes, le législateur français a modifié la loi informatique et libertés. Les nouvelles dispositions prévoient que des dispositifs de contrôle d'accès biométriques peuvent être mis en place par des employeurs à condition d'être conformes à un règlement type élaboré par la CNIL.

    Cette même loi précise que le règlement type est élaboré "en concertation avec les organismes publics et privés représentatifs des acteurs concernés".

    Afin d’inclure le plus grand nombre des parties prenantes, la CNIL a décidé d'engager la présente consultation publique sur le projet du règlement type "biométrie travail".

    La période de consultations se prolongera jusqu'au 1er octobre 2018. Le projet modifié, tenant compte des observations recueillies, sera ensuite soumis à l’examen de la séance plénière de la Commission.

    Le règlement type n’a pas vocation à se substituer aux obligations générales découlant du RGPD et de la Loi « Informatique et Libertés » modifiée, mais à les compléter ou à préciser certaines d’entre elles. Les organismes mettant en œuvre de tels traitements devront ainsi respecter l’ensemble des autres exigences légales et réglementaires, relatives aux principes du traitement de données, aux droits des personnes ou aux transferts internationaux des données. En particulier, ils devront s’assurer que les traitements de données biométriques concernés sont fondés sur une base légale telle que l’exécution d’une obligation légale ou la poursuite d’un intérêt légitime, à l’exclusion notamment du consentement de la personne concernée.

    Nom : cnil.png
Affichages : 3445
Taille : 192,9 Ko

    Finalités du traitement

    Le recours aux dispositifs biométriques n’est autorisé, dans le champ du présent règlement-type, que pour les finalités suivantes :
    • Le contrôle des accès à l'entrée et dans les locaux limitativement identifiés par l'organisme comme devant faire l'objet d'une restriction de circulation, à l'exclusion de tout contrôle des horaires des employés ;
    • Le contrôle des accès à des appareils et applications informatiques professionnels limitativement identifiés de l'organisme, à l'exclusion de tout contrôle du temps de travail de l'utilisateur.

    Justification du recours à un traitement biométrique

    Le responsable de traitement doit démontrer la stricte nécessité de recourir à un traitement de données biométriques en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges, mots de passe, etc.) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé. Cette justification doit :
    • détailler le contexte spécifique rendant nécessaire un niveau de protection élevé. Par exemple, manipulation des machines ou produits dangereux, accès aux fonds ou aux objets de valeur, matériel ou produits faisant l’objet d’une réglementation spécifique – précurseurs des substances psychotropes, produits chimiques pouvant être utilisés pour la fabrication d’armes ;
    • être documentée par le responsable du traitement.

    Données personnelles collectées et traitées

    Les traitements faisant objet du présent règlement peuvent porter sur les données à caractère personnel suivantes :
    • l'identité : nom, prénom, photographie et gabarit de la caractéristique biométrique, clé biométrique résultat du traitement des mesures par un algorithme (et non une image ou une photographie de cette caractéristique), numéro d'authentification ou numéro de support individuel, coordonnées ;
    • la vie professionnelle : numéro de matricule interne, corps ou service d'appartenance, grade, nom de l'employeur ;
    • l’accès aux locaux : porte utilisée, zones et plage horaire d'accès autorisées, date et heure d'entrée et de sortie ;
    • l’accès aux outils de travail : matériel ou applicatifs concernés, modalités d’accès autorisées, date et heure de début et de fin d’utilisation.

    Constituent un « gabarit », au sens du présent règlement, les mesures qui sont mémorisées lors de l'enregistrement des caractéristiques morphologiques (empreinte digitale, forme de la main, iris, etc.), biologiques (ADN, urine, sang, etc.) ou comportementales (démarche, dynamique de tracé de signature, etc.) de la personne concernée, que ce soit sous forme brute (image photographique) ou dérivée.

    Nom : cnil_1.png
Affichages : 3436
Taille : 261,3 Ko

    Destinataires des données traitées

    Seules peuvent avoir accès aux données visées à l’article 5 les personnes qui y sont limitativement habilitées en raison de leurs fonctions.

    Dans les limites de leurs attributions respectives ces personnes ne peuvent accéder aux gabarits que de façon temporaire et pour les stricts besoins de l'enrôlement de la personne concernée, de la suppression du gabarit ou de la maintenance du dispositif.

    L’architecture du dispositif biométrique ne doit pas permettre aux destinataires d'accéder directement aux gabarits enregistrés, de les modifier ou de les copier vers un autre support.

    Modalités et durée de conservation

    Les caractéristiques biométriques ne peuvent être conservées que sous la forme d'un gabarit chiffré ne permettant pas de recalculer la donnée biométrique d'origine. Le gabarit de la donnée biométrique associé ne peut être conservé que le temps de l'habilitation de la personne concernée et doit être supprimé à son départ ou au moment de retrait de son habilitation. Les catégories de données relatives à l'identité, à la vie professionnelle et aux accès aux locaux, aux appareils et applications informatiques peuvent être conservées au maximum trois mois après le départ de la personne concernée ou le retrait de son habilitation. Les éléments relatifs aux accès aux locaux, aux appareils et applications informatiques professionnels ne doivent pas être conservés plus de trois mois après leur enregistrement.

    Information des personnes

    L’information obligatoire prévue par les articles 12 et suivants du RGPD doit figurer dans une notice écrite remise par le responsable de traitement à chaque collaborateur préalablement à l’enrôlement des données biométriques de ce dernier.

    Source : règlement type biométrie de la CNIL en PJ (au format PDF)

    Et vous ?

    Que pensez-vous de ces propositions ?

    Voir aussi :

    La CNIL met en demeure les entreprises Teemo et Fidzup, car leurs applis de tracking publicitaire pistent illégalement les utilisateurs
    RGPD : la Quadrature du Net et 12 000 internautes déposent des plaintes à la CNIL, pour attaquer les GAFAM en recours collectif
    La CNIL a présenté son rapport d'activité sur l'année 2017, la Commission note une augmentation de 59 % de son audience
    Compteur Linky : La CNIL juge que le consentement des clients n'est pas recueilli dans des conditions conformes
    Biométrie : le cœur humain comme « mot de passe » pour renforcer la sécurité des systèmes
    Images attachées Images attachées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 016
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 016
    Points : 3 584
    Points
    3 584

    Par défaut

    Je n'aime pas cela du tout. Il a fallu que quelqu'un en ait besoin pour en arriver à un tel texte. La Défense par exemple. Pourvu que cela ne se démocratise pas dans la sphère privée et que cela reste des cas exceptionnels.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Modérateur
    Avatar de kolodz
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    avril 2008
    Messages
    2 203
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 32
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : avril 2008
    Messages : 2 203
    Points : 8 286
    Points
    8 286
    Billets dans le blog
    51

    Par défaut

    Citation Envoyé par Article 3 Justification du recours à un traitement de données biométriques
    Le responsable de traitement doit démontrer la stricte nécessité de recourir à un traitement de données biométriques en indiquant les raisons pour lesquelles le recours à d’autres dispositifs d’identification (badges, mots de passe, etc.) ou mesures organisationnelles et techniques de protection ne permet pas d’atteindre le niveau de sécurité exigé.
    Cette justification doit :
    - détailler le contexte spécifique rendant nécessaire un niveau de protection élevé. (...)
    - être documentée par le responsable du traitement.
    Citation Envoyé par Article 7 Modalités et durées de conservation
    Le gabarit de la donnée biométrique associé ne peut être conservé que le temps de l'habilitation de la personne concernée et doit être supprimé à son départ ou au moment de retrait de son habilitation.
    D'après ce que je vois, il y a déjà un certains nombre de contraintes fortes sur le sujet.
    En espérant que celles-ci restent bien en place jusqu'à la fin du projet.

    D'après ce que je comprends actuellement, il n'y a pas de cadre légal spécifique sur ce domaine.

    Cordialement,
    Patrick Kolodziejczyk.
    Si une réponse vous a été utile pensez à
    Si vous avez eu la réponse à votre question, marquez votre discussion
    Pensez aux FAQs et aux tutoriels et cours.

Discussions similaires

  1. Réponses: 11
    Dernier message: 30/11/2016, 17h36
  2. Réponses: 7
    Dernier message: 07/04/2016, 15h24
  3. Deskel.com veut « éradiquer l’utilisation d’internet à des fins personnel sur le lieu de travail »
    Par Gordon Fowler dans le forum Débats sur le développement - Le Best Of
    Réponses: 44
    Dernier message: 17/02/2012, 10h56
  4. Réponses: 0
    Dernier message: 26/10/2010, 12h06
  5. [Droit du travail] Manger sur son lieu de travail
    Par glloq8 dans le forum Droit du travail
    Réponses: 28
    Dernier message: 29/06/2006, 17h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo