CNIL та біометрія на роботі, які нові зобов’язання після GDPR?

cnil

Значні зміни відбуваються щодо контролю доступу до біометричної автентифікації на робочому місці. Справді, CNIL підготував новий типовий регламент, що регулює використання пристроїв біометричного контролю державними та приватними роботодавцями. Цей регламент встановлює нові дуже жорсткі умови, які змінюють умови законності цих систем.

Про що це ?
Біометричні дані зараз є предметом конкретного визначення та захисту в Європейському регламенті захисту даних (GDPR) 1: «Особисті дані, отримані в результаті специфічної технічної обробки, що стосуються фізичних характеристик, фізіологічних чи поведінкових властивостей фізичної особи, які дозволяють або підтверджують її унікальна ідентифікація, наприклад зображення обличчя або дані відбитків пальців. "
Отже, це, наприклад, розпізнавання відбитка пальця, райдужки, контуру кисті або навіть розпізнавання обличчя чи голосу або навіть венозна мережа пальця або кисті.
Біометрію можна використовувати на робочому місці для контролю доступу до приміщень, комп’ютерів або ІТ-додатків. У тій мірі, в якій біометричні дані базуються на постійній біологічній реальності людини і що вони дозволяють її автоматично розпізнавати за її фізичними характеристиками, CNIL протягом декількох років запроваджує дуже суворий правовий режим, щоб не порушувати свободи.

Конфіденційні дані, спеціально захищені GDPR
З набранням чинності GDPR 25 травня 2018 року цей правовий режим був додатково посилений, і біометричні дані тепер є частиною списку конфіденційних даних, тобто, згідно з європейськими правилами, "категорії персональних даних", обробка яких заборонена, крім спеціально оформлених винятків, чого не було до 25 травня 2018 року.
Наразі GDPR передбачає, що оскільки біометричні дані є конфіденційними даними2, як, наприклад, дані про расу, стан здоров’я чи навіть політичні чи релігійні думки3, згода в принципі потрібна, за винятком винятків.

Новий режим з моменту набуття чинності GDPR

До GDPR
Нагадаємо, біометричні пристрої підлягали попередньому дозволу CNIL до набрання чинності GDPR.
У червні 2016 року та після двох обговорень 28 січня 2016 року, в рамках яких CNIL відмовився від впровадження біометричного пристрою для розпізнавання відбитків пальців з метою моніторингу годин присутності працівників, CNIL опублікував два нових єдиних дозволу (AU-052 та AU-053), що охоплює всі біометричні прилади, вказуючи на те, що будь-який біометричний прилад представляє високі ризики для зацікавлених осіб.
Ці два унікальні дозволи від 2016 року і сьогодні є основою доктрини CNIL щодо біометричних приладів на робочому місці.

Оскільки GDPR та новий Закон про захист даних
Новий Закон про захист даних, що застосовується у Франції4, доповнив GDPR і на цій основі запровадив особливий режим біометричного контролю. Дійсно, до статті 8 закону було внесено поправки, що передбачають французьку специфіку щодо обробки, що проводиться державними або приватними роботодавцями, стосовно біометричних даних: ці операції з обробки звільняються від згоди працівників, але лише за умови, що "вони" необхідний для контролю роботодавцями та адміністраціями доступу до робочих місць, а також до пристроїв та додатків, що використовуються в рамках місій, доручених працівникам, агентам, слухачам або постачальникам послуг ".
Крім того, біометричні пристрої контролю доступу повинні, щоб мати можливість впровадження, відповідати стандартним правилам, розробленим CNIL.

1. GDPR, ст. 4-14.
2. Стаття 9 GDPR перелічує конфіденційні дані, збір яких та будь-яка інша форма обробки заборонені без явної згоди особи або за винятком конкретного винятку, прямо передбаченого GDPR або законом: "Обробка персональних даних персонал, який виявляє расове чи етнічне походження, політичні думки, релігійні чи філософські переконання або членство в профспілках, а також обробку генетичних даних, біометричних даних з метою однозначної ідентифікації фізичної особи, даних про стан здоров'я або даних про статеве життя або заборонена сексуальна орієнтація фізичної особи ".
3. GDPR, ст. 9.
4. Закон № 78-17 від 6 січня 1978 р., Внесений 20 червня 2018 р. Про інформаційні технології, файли та свободи.
5. CNIL, деліб. n ° SAN-2018-009, 6 вересня 2018 р.

Аріана Моул, партнер, юридична фірма Bird & Bird
Оріане Зубчевіч, юрист, адвокатська фірма Bird & Bird