Dans un comminuqué du 27 septembre 2016, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé qu’elle faisait évoluer sa doctrine sur la biométrie élaborée à partir de l’année 2006 pour mieux prendre en compte les évolutions techniques et limiter les risques pour la vie privée générés par les dispositifs biométriques au travail.
Le 30 juin 2016, la Cnil a adopté deux autorisations uniques qui encadrent désormais lensemble des dispositifs de contrôle daccès biométrique sur les lieux de travail, quels que soient les types de biométries utilisées. Elles distinguent les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique et les dispositifs biométriques ne garantissant pas cette maîtrise.
Les organismes auront plusieurs obligations.
Avant de mettre en place un contrôle daccès, ils devront réfléchir à la pertinence du recours à un traitement biométrique.
Ils devront documenter leur besoin, en expliquant notamment pourquoi un dispositif alternatif moins intrusif tel quun contrôle par badge, mot de passe, gardiennage ou vidéosurveillance ne suffit pas et pourquoi le dispositif biométrique répond à leur besoin.
Les organismes devront, par ailleurs, privilégier les dispositifs garantissant, par défaut et dès leur conception, le contrôle de la personne concernée sur son gabarit. Lobjectif est de limiter le risque de détournement des données biométriques. La conservation du gabarit biométrique sur un support individuel détenu par la seule personne concernée lui garantit un tel contrôle.
Si le contexte de mise en place du contrôle daccès ne permet pas de confier des supports individuels à chaque personne concernée, une alternative consiste à stocker en base le gabarit sous une forme le rendant inutilisable sans intervention de la personne concernée, par exemple, en lui confiant un secret nécessaire pour déchiffrer son gabarit.
Enfin, les organismes devront justifier et documenter la conservation des gabarits en base.