Біометрія на роботі посилює зобов’язання контролера даних з точки зору

Аутентифікація відбитків пальців та розпізнавання обличчя давно обмежуються шпигунськими фільмами в колективній уяві. Широко демократизовані, ці процеси дозволяють обмежити доступ до однієї людини на основі її фізичних, фізіологічних або поведінкових особливостей.
Однак ці рішення безпеки, широко використовувані на робочому місці, не позбавлені вразливостей.

біометрія

Унікальність фізичних та поведінкових характеристик зацікавленої особи вимагає впровадження посилених гарантій безпеки, оскільки порушення конфіденційності однозначно порушить їх основні права та свободи: ви не змінюєте свій відбиток пальця під час зміни пароля слів.

Тому біометричні дані вважаються конфіденційними даними у значенні Загального регламенту захисту даних (GDPR), і як такі вони отримують вигоду від певного режиму.

В принципі, GDPR забороняє здійснення операцій обробки, що стосуються біометричних даних. Як виняток, держави-члени можуть прийняти законодавство щодо обробки біометричних даних.

Так, у Франції закон від 6 січня 1978 р. Із змінами, відомий як закон „Informatique et Libertés”, дозволяє встановлення пристроїв біометричного контролю на робочих місцях за умови, що вони відповідають стандартним правилам, розробленим Національною комісією для обчислень та свобод (CNIL).

Повноваження CNIL у питаннях біометрії.

На початку 2019 року CNIL вперше використав свою нову регуляторну владу. З моменту набрання ними чинності 29 березня 2019 року, положення типових положень тепер є обов’язковими для будь-якої організації, що має біометричний ідентифікаційний пристрій.
Цей регламент випливає з єдиних дозволів AU-052 та AU-053, прийнятих CNIL, і посилює обов'язки контролера даних. Тому хороша можливість переглянути цілі контролю, що застосовуються до біометрії на робочому місці.

Типові норми рекомендують повністю контролювати біометричний шаблон відповідною особою.

Сфера дії стандартних норм обмежена обробкою, що стосується доступу до приміщень, професійних інструментів або додатків; він виключає будь-який пристрій, що вимагає біологічного зразка, який за своєю природою був би занадто нав'язливим.
Авторизовані пристрої включають фазу реєстрації та фазу автентифікації.

На першому етапі біометричні дані зберігаються в шаблоні за допомогою датчика. На етапі автентифікації необхідно забезпечити відповідність представлених даних реєстрації в біометричному шаблоні.

Однак ці пристрої не захищені від зловмисних атак, будь то з метою неправдивої ідентифікації шляхом введення сфальсифікованих даних, наприклад, фотографії або відмови від автентифікації в контексті атаки. Відмова в обслуговуванні.
Ось чому типові норми рекомендують людині зберігати фізичний контроль над своїм шаблоном, наприклад, у вигляді значка, який він подасть системі перед тим, як ідентифікувати себе. Ця система зберігання даних типу 1 обмежує ризик несанкціонованого доступу та забезпечує найвищий рівень безпеки, оскільки людина єдина має шаблон і біометричні дані, які є для неї притаманними.

Якщо виявиться, що за виняткових обставин неможливо встановити сховище типу 1, доступ до шаблону може вимагати введення коду або секрету, відомого лише особі; це тоді сховище типу 2.

Що стосується сховища типу 3, воно може бути налаштоване для ситуацій, що вимагають швидкого доступу до критичних середовищ. У цьому випадку всі шаблони будуть централізовані в базі даних, без зацікавленої особи не матиме над ними контролю. Через високі ризики, пов’язані з такою формою зберігання, контролер даних повинен обґрунтувати потребу в цьому.

Обов'язок зберігати аргументовану документацію, щоб мати змогу її враховувати (підзвітність).

Вибір типу сховища повинен бути задокументований та аргументований у письмовій формі, зокрема щодо необхідності та пропорційності використання біометричних приладів. Ці елементи будуть включені в аналіз впливу.

Загалом, слід віддавати перевагу менш нав’язливим заходам щодо приватного життя зацікавлених осіб, таким як використання значка чи коду.
Суб'єкти даних також повинні бути поінформовані індивідуально контролером даних за допомогою письмового повідомлення перед тим, як дані будуть записані та створений шаблон.

Щодо встановлення та управління біометричним пристроєм, контролер даних повинен забезпечити, щоб постачальник послуг, що діє від його імені та від його імені, вживав усі технічні та організаційні заходи для забезпечення конфіденційності та безпеки таких даних. Як і у випадку будь-якого договору субпідряду, що стосується персональних даних, зобов’язання постачальника послуг повинні бути оформлені контрактними положеннями, що стосуються захисту даних.
Вся ця документація повинна бути представлена ​​CNIL у разі перевірки.

Обов’язковий характер аналізу впливу на захист даних та подальші заходи безпеки.

На відміну від єдиних дозволів, які не передбачали оцінки впливу на всі типи зберігання, типові норми поширюють цей обов'язок на всю обробку, що стосується біометрії на виробництві. Це нове зобов'язання відповідає положенням обговорення від 11 жовтня 2018 року про прийняття переліку типів операцій з обробки, для яких необхідний аналіз впливу.

Аналіз впливу повинен проводити контролер даних перед тим, як проводити обробку, а отже, перед будь-яким використанням біометричного розчину. Він повинен включати опис обробки персональних даних як в технічному, так і в юридичному аспектах, оцінку необхідності та пропорційності, опис заходів безпеки та аналіз ризиків для прав і свобод зацікавлених осіб.

Поки що є логікою гармонізації з GDPR, типові норми доповнюють заходи безпеки, які повинні ввести контролери даних принаймні і які були описані в унікальних дозволах AU-52 та AU-53. Ці заходи слід перевіряти принаймні раз на рік. Це як технічні заходи безпеки, що стосуються всіх апаратних та програмних компонентів біометричного пристрою, захисту самих даних та ІТ-каналів, а також організаційні заходи безпеки.

Який ризик має керівник бізнесу у разі невідповідності біометричного приладу, що використовується на робочому місці ?

Остання санкція, що стосується біометрії, виголошена CNIL, становила лише 10 000 євро, але з моменту набуття чинності GDPR гранична санкція зараз становить 20 мільйонів євро або 4% від обороту організації.

Нарешті, слід пам’ятати, що органи захисту даних вже звернули увагу роботодавців на чутливість обробки персональних даних своїх працівників, і можна уявити, що порушення стандартних норм буде суворо покаране.

Лотарингія Паквін
Консультант із захисту персональних даних - TNP Consultants