CNIL
ENVIRONNEMENT JURIDIQUE

 
Le Commission Nationale de l’Informatique et des Libertés (CNIL) encadre le recours à la biométrie sur le territoire français, hors usage privé.

Autorisation d’emploi de la biométrie
L’utilisation d’un dispositif biométrique est soumise à autorisation préalable. Tout organisme qui souhaite installer un dispositif biométrique doit adresser par courrier à la CNIL une demande d’autorisation.
 

 

Pour bénéficier de l’Autorisation Unique AU052, 2 possibilités :

- Le gabarit biométrique doit être stocké dans un badge.

- Le gabarit biométrique peut être stocké dans le lecteur ou en base de données mais crypté avec un code détenu et maitrisé par le salarié.

Autorisation unique 052 CNIL AU052

Certains dispositifs bénéficient de formalités allégées. Pour ces autorisations uniques, une simple déclaration de conformité suffit.

L’autorisation unique n°AU-052 concerne les dispositifs biométriques mis en œuvre pour contrôler l’accès aux locaux, appareils et applications informatiques utilisés sur les lieux de travail. Ces dispositifs doivent garantir à la personne concernée de garder la maîtrise de son gabarit.

Cela suppose de stocker le gabarit biométrique :

- sur un support détenu par la seule personne concernée

- ou en base de données sous une forme inexploitable car illisible sans un code secret détenu par la seule personne concernée.

 

Ces systèmes intègrent donc par défaut des mécanismes permettant de respecter la vie privée des personnes. Ils doivent être privilégiés lorsqu’un contrôle d’accès biométrique est mis en place dans un contexte professionnel.

 

Les autorisations uniques AU-007, AU-008, AU-019, AU-027 sont abrogées.

Les organismes ayant effectué un engagement de conformité à ces autorisations uniques et qui ne respectent plus les conditions fixées par la présente norme disposent d'un délai de deux ans à compter de son adoption pour se mettre en conformité et effectuer un nouvel engagement de conformité, ou demander une autorisation spécifique auprès de la Commission.

 

Les accords d’autorisations uniques sont automatiques, il n’y a pas d’autorisation préalable à demander, une simple télé-déclaration en ligne suffit.