Délibération n° 2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique (AU-052)

JORF n°0225 du 27 septembre 2016
texte n° 53



Délibération n° 2016-186 du 30 juin 2016 portant autorisation unique de mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail et garantissant la maîtrise par la personne concernée sur son gabarit biométrique (AU-052)

NOR: CNIL1626033X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu le code du travail, notamment ses articles L. 1222-4, L. 2143-22, L. 2315-5, L. 2323-13 et suivants, L. 2323-32, L. 2325-11 et L. 8113-4 et suivants ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, notamment ses articles 25-I (8°) et 25-II ;
Vu la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ;
Vu la loi n° 84-16 du 11 janvier 1984 portant dispositions statutaires relatives à la fonction publique de l'Etat ;
Vu la loi n° 84-53 du 16 janvier 1984 portant dispositions statutaires relatives à la fonction publique territoriale ;
Vu la loi n° 86-33 du 9 janvier 1986 portant dispositions statutaires relatives à la fonction publique hospitalière ;
Vu le décret n° 82-452 du 28 mai 1982 relatif aux comités techniques paritaires ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 ;
Vu la délibération n° 2006-102 du 27 avril 2006 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail ;
Vu la délibération n° 2009-316 du 7 mai 2009 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail ;
Vu la délibération n° 2011-074 du 10 mars 2011 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale et ayant pour finalité le contrôle de l'accès aux postes informatiques portables professionnels ;
Vu la délibération n° 2012-322 du 20 septembre 2012 portant autorisation unique de mise en œuvre de traitements reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la restauration sur les lieux de travail ;


Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
Les données biométriques ont la particularité d'être uniques et permanentes, car elles permettent d'identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (par ex. : empreinte digitale, contour de la main). Elles ne sont pas attribuées par un tiers ou choisies par la personne. Elles sont produites par le corps lui-même et le désignent de façon définitive. Elles permettent de ce fait le suivi des individus et leur identification.
La gestion des contrôles de l'accès à des zones, appareils et applications limitativement identifiées par le responsable de traitement comme faisant l'objet d'une restriction de circulation et d'accès peut s'effectuer grâce à la mise en œuvre d'un dispositif de reconnaissance biométrique résultant d'un traitement technique spécifique des caractéristiques physiques, physiologiques ou comportementales d'une personne physique, permettant ou confirmant son identification unique, telles que des images faciales ou des données dactyloscopiques.
Le caractère sensible des données issues de ce traitement justifie que la loi prévoie un contrôle spécifique de la CNIL, pour apprécier la proportionnalité du traitement au regard de la finalité recherchée telle que la gestion des restrictions d'accès mises en place dans un contexte professionnel. De tels dispositifs relèvent en effet de l'article 25-I (8°) de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l'identité des personnes.
Par ailleurs, il y a lieu, en l'état des connaissances sur la technologie utilisée, de faire application des dispositions de l'article 25-II aux termes duquel les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et les mêmes destinataires ou catégories de destinataires, peuvent être autorisés par une décision unique de la commission. Au cours des dernières années, la commission a émis plusieurs autorisations uniques de mise en œuvre de dispositifs biométriques de contrôle d'accès aux lieux de travail fondés soit sur la reconnaissance du contour de la main (délibération n° 2006-101 du 27 avril 2006 portant autorisation unique 007), soit sur la reconnaissance de l'empreinte digitale (délibération n° 2006-102 du 27 avril 2006 portant autorisation unique 008), soit sur la reconnaissance du réseau veineux des doigts de la main (délibération n° 2009-316 du 7 mai 2009 portant autorisation unique 019), ou de contrôle d'accès aux postes informatiques portables professionnels par reconnaissance de l'empreinte digitale (délibération n° 2011-074 du 10 mars 2011 portant autorisation unique 027).
Les dispositifs autorisés par ces décisions uniques ont pour finalité commune la gestion et le contrôle des restrictions d'accès définies dans un contexte professionnel, que ces accès soient logiques ou physiques, à partir de différentes caractéristiques biométriques. Toutefois, les modalités de conservation du gabarit qu'elles autorisent diffèrent en fonction des caractéristiques biométriques utilisées.
L'évolution des technologies appelle une révision des cadres de références actuels.
Face au développement du recours aux dispositifs biométriques aux fins de contrôle d'accès, la commission doit veiller, conformément à l'article 1er de la loi du 6 janvier 1978 modifiée, à ce que ces traitements restent au service du citoyen et ne « portent atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».
La présente autorisation concerne les dispositifs de contrôle d'accès biométriques mis en œuvre dans des conditions assurant la maîtrise de la personne concernée sur son gabarit biométrique et offrant des garanties de sécurité et de confidentialité fortes, qui peuvent se décliner sous deux formes de mise en œuvre.
En premier lieu, la commission estime que les systèmes recourant au stockage des données biométriques sur un support individuel détenu par les personnes concernées garantissent une meilleure protection de la vie privée. En effet, placer la donnée sous le contrôle exclusif des intéressés permet mécaniquement de réduire les risques de détournement et l'impact d'une usurpation, si le support est subtilisé. En cas de perte ou de vol du support individuel, seule la donnée concernée est compromise et non tous les gabarits des salariés soumis au contrôle d'accès.
En second lieu, s'il est avéré que la détention d'un support dédié au seul stockage du gabarit n'est pas adaptée à l'architecture et au contexte d'exploitation du dispositif, le responsable du traitement peut, de manière alternative, assurer le verrouillage des données biométriques stockées en base, par un secret détenu par la seule personne concernée. Dans ces deux hypothèses, l'utilisation du gabarit biométrique reste conditionnée à une action de la personne concernée en tant que détentrice du gabarit ou du secret permettant de le déverrouiller.
Le périmètre des traitements biométriques couverts par la présente autorisation unique s'étend à toute personne disposant d'une habilitation d'accès contrôlée par le dispositif biométrique mis en œuvre par le responsable du traitement concerné, et à toute caractéristique biométrique, utilisée seule ou de manière combinée. Enfin, la présente autorisation ne vise pas un type de local ou d'appareil précis mais, de manière plus générale, tout local, appareil ou application identifié de manière limitative par le responsable du traitement comme faisant l'objet d'une restriction d'accès par contrôle d'accès biométrique.
Le responsable de traitement mettant en œuvre un dispositif de contrôle d'accès reposant sur la reconnaissance d'une des caractéristiques biométriques visées par la présente décision dans le respect de ses dispositions adresse à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation.
Dès lors, les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.

Article 1


Finalités du traitement.
Seuls peuvent faire l'objet d'un engagement de conformité en référence à la présente décision unique les traitements reposant sur un dispositif de reconnaissance d'une caractéristique biométrique, mis en œuvre par les organismes privés ou publics, à l'exception des traitements mis en œuvre :


- pour le compte de l'Etat ;
- lorsque les personnes concernées sont des mineurs.


Ces traitements peuvent uniquement avoir pour finalité :


- le contrôle des accès à l'entrée et dans les locaux limitativement identifiés par l'organisme comme devant faire l'objet d'une restriction de circulation, à l'exclusion de tout contrôle des horaires des employés ;
- le contrôle des accès à des appareils et applications informatiques professionnels limitativement identifiés de l'organisme, à l'exclusion de tout contrôle du temps de travail de l'utilisateur.


Le responsable du traitement s'engage à documenter les éléments démontrant la pertinence du recours à un dispositif de contrôle d'accès biométrique, plutôt qu'à un dispositif de contrôle d'accès moins risqué pour la vie privée des personnes concernées, au regard de ses besoins et du contexte de mise en œuvre du dispositif. Il devra mettre à disposition de la commission ces éléments sur simple demande.

Article 2


Données à caractère personnel traitées.
Seules les données à caractère personnel suivantes peuvent être traitées :


- l'identité : nom, prénom, photographie et gabarit de la caractéristique biométrique, clé biométrique résultat du traitement des mesures par un algorithme (et non une image ou une photographie de cette caractéristique), numéro d'authentification ou numéro de support individuel, coordonnées ;
- la vie professionnelle : numéro de matricule interne, corps ou service d'appartenance, grade, nom de l'employeur ;
- le déplacement des personnes : porte utilisée, zones et plage horaire d'accès autorisées, date et heure d'entrée et de sortie ;
- en cas d'accès à un parking : numéro d'immatriculation du véhicule, numéro de place de stationnement.

Article 3


Modalités et durée de conservation.
Les caractéristiques biométriques ne peuvent être conservées que sous la forme d'un gabarit chiffré ne permettant pas de recalculer la donnée biométrique d'origine.
Afin de garantir la maîtrise par la personne concernée de son gabarit, ce dernier doit être exclusivement conservé sur un support individuel de stockage placé sous son contrôle exclusif.
Si la détention d'un support individuel de stockage n'est pas adaptée au contexte de mise en œuvre du contrôle d'accès, le responsable du traitement peut conserver le gabarit en base de données ou dans la mémoire interne du terminal de lecture comparaison sous réserve :


- de justifier et documenter la nécessité de recourir au stockage en base, compte-tenu du contexte de mise en œuvre du dispositif ; et
- de ne conserver les gabarits biométriques que sous forme chiffrée par une clé de chiffrement/déchiffrement uniquement détenue par la personne concernée. La clé ne doit être envoyée au serveur qu'au moment de l'authentification de la personne concernée. Elle ne doit pas être conservée sur le serveur.


Le gabarit de la donnée biométrique associé ne peut être conservé que le temps de l'habilitation de la personne concernée et doit être supprimés à son départ.
Les catégories de données relatives à l'identité, à la vie professionnelle et à la gestion du parking peuvent être conservées au maximum cinq ans après le départ de la personne disposant d'une habilitation d'accès de longue durée, et trois mois après le départ des personnes disposant d'une habilitation d'accès ponctuelle.
Les éléments relatifs aux déplacements des personnes ne doivent pas être conservés plus de trois mois.

Article 4


Destinataires des informations.


Personnes habilitées du service du personnel

Identité (à l'exception du gabarit de la biométrie utilisé et du code d'authentification), vie professionnelle, déplacement des personnes et informations en relation avec la gestion du parking

Personnes habilitées du service gérant la sécurité des locaux

Identité (à l'exception du gabarit de la biométrie utilisée et du code d'authentification), plages horaires autorisées, déplacement des personnes, vie professionnelle et informations en relation avec la gestion du parking ou des locaux

Personnes habilitées du service ou de l'organisme gérant le restaurant d'entreprise ou administratif

Identité (à l'exception du gabarit du gabarit de la biométrie utilisée et du code d'authentification), informations en relation avec la gestion de la restauration


Les personnes habilitées énumérées ci-dessus ne peuvent avoir accès au gabarit de l'empreinte digitale que de façon temporaire et pour les stricts besoins de l'enrôlement de la personne concernée ou de la suppression du gabarit. Il leur est impossible d'accéder directement, de modifier ou de copier sur un autre support les gabarits enregistrés.


Liberté de circulation des employés protégés.
Les contrôles d'accès aux locaux du responsable de traitement et aux zones limitativement désignées, faisant l'objet d'une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent, ne doivent pas entraver la liberté d'aller et venir des employés protégés dans l'exercice de leurs missions conformément aux dispositions du code du travail.

Article 6


Mesures de sécurité.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité et la confidentialité des données traitées et notamment pour empêcher qu'elles soient déformées, endommagées ou que des tiers non autorisés puissent en prendre connaissance.
Dans cet objectif, le responsable de traitement adopte des mesures suivantes, ou des mesures équivalentes dont il démontre l'équivalence :


- mesures portant sur les données :
- cloisonner les données lors de leur transmission et leur conservation ;
- chiffrer les données biométriques, dont les gabarits, à l'aide d'un algorithme cryptographique et d'une gestion des clés conformes à l'état de l'art ; en particulier, une politique de chiffrement et de gestion des clés doit être clairement définie (changement des clés par défaut, algorithmes et tailles des clés conformes à l'état de l'art, renouvellement prévu…) ;
- associer un code d'intégrité aux données (par exemple, signature par hachage) ;
- interdire tout accès externe à la donnée biométrique (« match-on-card » ou module de sécurité physique/logique type HSM) ;
- effectuer le contrôle d'accès par une comparaison entre l'échantillon calculé et le gabarit d'enrôlement enregistré (en base interne/distante ou sur support individuel) sans copie du gabarit ;
- veiller à l'effectivité de l'effacement des données à l'issue de la durée de conservation ;
- supprimer la donnée biométrique en cas d'accès non autorisé au terminal de lecture-comparaison ou au serveur distant ;
- supprimer toute donnée non utile au traitement ultérieur lors de la fin de vie du dispositif biométrique ;
- mesures portant sur l'organisation :
- informer les personnes concernées, de manière complète, spécifique et intelligible, via des supports clairs et synthétiques ;
- responsabiliser les personnes concernées sur les bonnes conditions d'utilisation des matériels ;
- mettre à disposition un dispositif alternatif « de secours » ou utilisé à titre exceptionnel, sans contrainte ni surcoût pour les personnes n'utilisant pas la solution biométrique ; en particulier, pour les personnes ne répondant pas aux contraintes du dispositif biométrique (enrôlement ou lecture de la donnée biométrique impossible) et en prévision d'une indisponibilité du dispositif biométrique (tel qu'un dysfonctionnement du dispositif), une « solution de secours » doit être mise en œuvre pour assurer une continuité du service proposé, limitée toutefois à un usage exceptionnel ;
- tester le système selon une procédure formalisée, avant sa mise en place et après toute modification, dans un environnement dédié et sans recourir à des données réelles ;
- déterminer les actions à entreprendre en cas d'échec de l'authentification (impossible de vérifier une identité, défaut d'habilitation à pénétrer dans une zone sécurisée…) ;
- gérer de manière stricte l'accès physique et logique aux dispositif et bases de données par les personnes habilitées ; en particulier, une politique de gestion des droits et des accès doit être clairement définie ; il s'agit de formaliser les différentes catégories de personnes habilitées (utilisateurs, administrateurs et gestionnaires de bases de données, personnes en charge de la gestion des données, personnes techniques de maintenance…), leurs droits sur les données, la manière dont les habilitations sont gérées, la manière dont leur accès est contrôlé, la manière dont les secrets sont gérés, les traces journalisées, la manière dont les traces sont gérées, etc. ;
- former spécifiquement les administrateurs et personnes habilités à gérer les données (enrôlement, traitements, effacement…) ;
- intégrer une mesure technique ou organisationnelle de détection anti-fraude ;
- prévenir les personnes concernées en cas d'accès non autorisé à leurs données ;
- formaliser, appliquer et faire connaître une procédure de secours en cas d'incident (prévoyant notamment le ré-enrôlement) ;
- mesures portant sur les matériels :
- mettre en œuvre des mesures permettant d'être alerté en cas de tentative d'effraction sur le lecteur ou le dispositif de stockage ; en particulier, en cas de stockage de la donnée sur une base locale intégrée au dispositif biométrique, toute tentative d'ouverture ou d'arrachement du terminal de lecture-comparaison doit être détectée, suivie d'un signalement à l'administrateur du dispositif ;
- réserver un matériel spécifique au stockage des données ;
- utiliser des matériels certifiés aux conditions d'usage et en termes de sécurité ;
- garantir la traçabilité du cycle de vie du matériel ;
- mesures portant sur les logiciels :
- réserver un logiciel spécifique à l'usage des données ;
- signer le logiciel et vérifier sa signature ;
- tenir les logiciels à jour selon une procédure formalisée ;
- vérifier que les modifications apportées par les éditeurs de logiciels ne favorisent pas la fuite de données ;
- recourir à des mécanismes de détection et de protection contre les logiciels malveillants et logiciels espions, éprouvés et tenus à jour ;
- limiter les actions des usagers sur les logiciels ;
- garantir la traçabilité du cycle de vie des logiciels ;
- vérifier régulièrement les licences des logiciels utilisés ;
- interdire l'installation de logiciels permettant une observation interne (dans le cas d'un badge) ;
- s'assurer du cloisonnement de l'application de biométrie ;
- mesure portant sur les canaux informatiques :
- sécuriser les canaux informatiques (canaux réservés et chiffrés).


Information et droits des personnes.
L'information des personnes est effectuée, conformément aux dispositions de l'article 32 de la loi du 6 janvier 1978 modifiée en août 2004, par la diffusion à chaque personne concernée, préalablement à la mise en œuvre du traitement, d'une note explicative.
La notice explicative précise notamment la manière d'exercer les droits d'accès, de rectification et d'opposition pour motif légitime.
Le responsable du traitement procède également, conformément aux dispositions des articles L. 2323-13 et suivants, L. 2323-32 du code du travail et à la législation applicable aux trois fonctions publiques, à l'information et à la consultation des instances représentatives du personnel avant la mise en œuvre des traitements visés à l'article 1er.


Abrogation des délibérations n° 2011-074, n° 2009-316, n° 2006-102, n° 2012-322 et dispositions transitoires.
La présente délibération abroge et remplace la délibération n° 2011-074 du 10 mars 2011 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale et ayant pour finalité le contrôle de l'accès aux postes informatiques portables professionnels, la délibération n° 2009-316 du 7 mai 2009 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail, la délibération n° 2006-102 du 27 avril 2006 portant autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l'empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée et ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail ainsi que la délibération n° 2012-322 du 20 septembre 2012 portant autorisation unique de mise en œuvre de traitements reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la restauration sur les lieux de travail.
Les organismes privés et publics ayant effectué un engagement de conformité à ces autorisations uniques et qui ne respectent plus les conditions fixées par la présente norme disposent d'un délai de deux ans à compter de la publication de la présente délibération pour mettre en conformité leur traitement avec la présente délibération ou la délibération n° 2016-187 adoptée ce jour ou demander une autorisation spécifique auprès de la commission dans les formes prescrites par les articles 25-I (8°) et 30 de la loi du 6 janvier 1978 modifiée.
Tout traitement automatisé de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance d'une caractéristique biométrique, qui n'est pas conforme aux dispositions qui précèdent, doit faire l'objet d'une demande d'autorisation auprès de la commission dans les formes prescrites par les articles 25-I (8°) et 30 de la loi du 6 janvier 1978 modifiée.

Article 9


La présente délibération sera publiée au Journal officiel de la République française.


La présidente,

I. Falque-Pierrotin