Délibération n°2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail
JO du 28 mars 2019
Cette délibération de la Commission Nationale Informatique et Libertés (CNIL) est prise en application de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles qui a confié à la commission une mission nouvelle : établir et publier, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, « des règlements types en vue d’assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ».
Dans ce cadre, ce texte adopte un règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail.
Ce règlement fixe des exigences spécifiques applicables aux traitements de données biométriques nécessaires au contrôle par les employeurs publics ou privés de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires.
Le texte aborde successivement :
* les finalités du traitement ;
* la justification du recours à un traitement de données biométriques ;
* les données personnelles collectées et traitées ;
* les données biométriques ;
* les personnes habilitées à traiter les données ;
* le choix des modalités de détention du gabarit ;
* les modalités et durées de conservation ;
* l’information des personnes ;
* la sécurité des données ;
* l’analyse d’impact relative à la protection des données.
Sur ce dernier point, le texte précise que les traitements régis par le règlement type sont considérés comme susceptibles d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées. Une analyse d’impact relative à la protection des données doit donc être effectuée par le responsable du traitement préalablement à leur mise en œuvre (et ce quel que soit le type de détention du gabarit biométrique choisi). Le responsable de traitement devra donc à la fois respecter les dispositions du présent règlement type, documenter et tenir à disposition de la CNIL les justifications qui y sont demandées et procéder à une évaluation des risques sur les droits et libertés des personnes aux fins de les identifier et, le cas échéant, de les traiter.
Les plus lus…
La courbe de Bradley est la représentation graphique de la maturité d'une organisation en matière de culture de la…
Le mercredi 6 novembre 2024, l’entreprise britannique Detector Testers se voyait décerner un des Oscars de la FFMI 2024…
-
Le référentiel APSAD R4 impose-t-il de faire figurer les extincteurs sur les plans d'évacuation incendie ? …
-
La première édition de l’observatoire des risques professionnels dans les petites entreprises du groupe Pôle Prévention dresse un inventaire…
-
Le BEA-RI ouvre deux enquêtes en cette fin d'année 2024. La première concerne un incendie survenu le mardi 3…
-
Le rapport annuel 2023 de l'Assurance maladie - Risques professionnels a été dévoilé le vendredi 13 décembre 2024. Voici…
À lire également
