Communiqué de la CNIL du 27 septembre 2016
Délibérations de la CNIL n° 2016-186 et n° 2016-187 en date du 30 juin 2016

Par un communiqué en date du 27 septembre 2016, la CNIL a annoncé l’adoption de deux nouvelles autorisations uniques :

- L’AU-052 encadrant les dispositifs biométriques permettant à la personne concernée de conserver la maîtrise de son gabarit biométrique ;

- L’AU-053 encadrant les dispositifs biométriques ne permettant pas cette maîtrise.

Ces nouvelles autorisations encadrent désormais l’ensemble des dispositifs biométriques contrôlant l’accès aux locaux, aux appareils et applications informatiques utilisés sur les lieux de travail, quels que soient les types de biométries utilisés (empreinte digitale, contour de la main, reconnaissance vocale ou faciale, ADN etc.). Tout contrôle des horaires des employés est exclu.
Ces décisions abrogent les autorisations uniques préexistantes en matière de biométrie, à savoir l’AU-027, l’AU-019, l’AU-007 et l’AU-008.

Finie la distinction entre les dispositifs biométriques dits « à trace » ou « sans trace » : la CNIL considère que cette distinction n’est plus pertinente car la quasi-totalité des technologies disponibles sur le marché permettent en pratique de collecter des traces des individus concernés, tels que leurs images ou le son de leurs voix.

Le critère de distinction est désormais celui de la maîtrise par l’intéressé de son « gabarit », c’est-à-dire de ses données biométriques transformées par un algorithme propre à chaque caractéristique analysée. L’intéressé à la maîtrise de son gabarit si (i) son gabarit est exclusivement conservé sur un support individuel de stockage que lui seul détient, ou si (ii) son gabarit est conservé sous une forme inutilisable sans un secret, dont l’intéressé est le seul détenteur.

Des règles anticipant l’entrée en vigueur du règlement européen sur la protection des données

Ces nouvelles règles sont d’ores et déjà alignées sur le règlement européen. Elles intègrent les prérequis de l’étude d’impact sur la vie privée et les concepts de protection des données dès la conception du produit et par défaut (« privacy by design » et « privacy by default »).

Avant de mettre en place les traitements de données couverts par ces nouvelles autorisations, le responsable de traitement devra :

- justifier que le recours à un tel traitement est nécessaire, à savoir qu’un dispositif alternatif potentiellement moins intrusif ne serait pas suffisant (par exemple : les contrôles par badge, mot de passe ou vidéosurveillance) ;

- être en mesure de documenter les différentes caractéristiques des traitements mis en œuvre et d’en démontrer la proportionnalité.

Les responsables de traitement devront privilégier les dispositifs garantissant, par défaut et dès leur conception, le contrôle de leur gabarit par les individus concernés afin de limiter les risques de détournement des données biométriques, à savoir les traitements couverts par l’autorisation AU-052.

À défaut de pouvoir rentrer dans le cadre de l’autorisation unique AU-052, les organismes pourront avoir recours à un stockage des données biométriques en base qui devra être conforme aux exigences de l’autorisation unique AU-053.

Les systèmes reposant sur un stockage des gabarits en base pourront être mis en place uniquement s’ils constituent la seule configuration envisageable pour répondre aux besoins spécifiques du responsable de traitement, et sous réserve de la mise en place de mesures permettant de limiter au maximum les risques pour la vie privée des individus concernés (chiffrement des données lors de leur transmission, suppression des données en cas d’accès non autorisé, formation les personnes habilités à utiliser les matériels etc.).

À cet effet, les responsables de traitement devront, lors de l’engagement de conformité, remplir une grille d’analyse destinée à évaluer la maîtrise des risques inhérents au système.

Si votre traitement est conforme à l’une des autorisations, vous pouvez effectuer une déclaration de conformité. Si vous avez effectué une déclaration de conformité à l’une des autorisations uniques abrogées, vous devez vérifier que votre traitement répond aux exigences des nouvelles autorisations uniques AU-052 et AU-053. Si votre traitement n’est pas en conformité avec les conditions d’une de ces deux autorisations uniques, vous disposez d’un délai de deux ans pour vous mettre en conformité.

La CNIL pourra à tout moment vérifier les obligations imposées par les nouvelles autorisations uniques et la documentation associée.