Lorsque l’employeur décide d’avoir recours à un dispositif biométrique pour contrôler l’accès aux locaux, et aux appareils et applications informatiques utilisés sur les lieux de travail, il doit effectuer une déclaration simplifiée auprès de la Commission nationale de l’informatique et des libertés (Cnil) et se conformer à certaines exigences.
Jusqu’alors, le niveau de ces exigences dépendait du type de biométrie utilisée (voix, empreinte digitale, réseau veineux, iris, contour de la main…).
Désormais, les obligations de l’employeur diffèrent selon que l’échantillon des caractéristiques biométriques permettant une comparaison avec le dispositif de contrôle, appelé « le gabarit », est stocké sur un support détenu uniquement par le salarié (clé USB, carte à puce…) ou bien sur un support géré par le cabinet tel qu’une base de données ou un terminal de lecture des données.
Précision : le gabarit est également considéré comme détenu par le seul salarié lorsqu’il est intégré dans une base de données mais que celle-ci est inexploitable sans son intervention (entrée d’un mot de passe notamment).
Les cabinets doivent privilégier les dispositifs biométriques pour lesquels le salarié détient le gabarit. Sachant que les contraintes qui pèsent sur le cabinet sont plus lourdes lorsque c’est lui qui conserve le gabarit.
Attention : les employeurs qui ont effectué une déclaration simplifiée de leur dispositif de contrôle biométrique selon les anciennes normes doivent le rendre conforme aux nouvelles exigences posées par la Cnil d’ici le 27 septembre 2018.
Délibération Cnil n° 2016-186 du 30 juin 2016, JO du 27 septembre