Contrôle d'accès et CNIL

bannieres contrôle acces cnil1

Réglementation concernant la mise en place d'une gestion des contrôles d'accès aux locaux

La mise en place d’une solution de gestion des accès suppose la protection des données personnelles des collaborateurs et visiteurs qui seront soumis au contrôle d’accès. En France, la Commission Nationale de l'Informatique et des Libertés (CNIL) veille au suivi de la réglementation européenne en vigueur.

CNIL et contrôle d'accès aux locaux

Depuis l’entrée en vigueur du Règlement pour la Protection des Données Personnelles (RGPD) le 25 mai 2018, la mise en place d’un système de contrôle d’accès ne requiert plus de déclaration spécifique obligatoire auprès de la CNIL.

Néanmoins, les entreprises et organisations demeurent responsables de la protection des données personnelles de leurs collaborateurs, en application du RGPD. Elles doivent s’engager dans un processus de gestion et de protection, documenté, des données personnelles qu’elles traitent et qui peuvent concerner aussi bien leurs collaborateurs, que les visiteurs ou prestataires amenés à utiliser le système de contrôle d’accès.

Des déclarations auprès de la CNIL restent obligatoires dans les cas suivants :
- Déclaration de votre analyse de risque (PIA/Analyse d’impact sur la Protection des Données) si elle présente un risque élevé (Formulaire CNIL)
- Justification pour traitement de données sensibles (exemple : biométrie)
- Notification en cas de violation de données à caractère personnel (Formulaire CNIL)
- Transfert de données personnelles hors pays dits « de confiance » (CNIL carte du monde, CNIL guide de transfert)

Utilisation de la biométrie dans les systèmes de contrôle d’accès

Le contrôle par biométrie est autorisé en France dans le cadre d’un usage en contrôle d’accès, s’il remplit les conditions suivantes :
- Il ne sert qu’à contrôler des accès à des zones restreintes ou appareils et applications informatiques précis,
- Il ne sert pas à contrôler les horaires des employés,
- Il est considéré comme un traitement de données à haut risque : analyse de risque (PIA / AIPD) obligatoire,
- Les instances représentatives du personnel sont informées et consultées,
- Les employés sont informés par une notice explicative,
- Le recours à la biométrie est justifié. Cette justification a été validée par la CNIL.

La démarche de justification auprès de la CNIL passe par une demande d’autorisation préalable. Depuis le 30 juin 2016, la CNIL a adopté deux autorisations uniques à cet effet :
- AU AU-052, si la donnée d’empreinte (gabarit, donnée dactylographique) est conservée par la personne, comme par exemple sur son badge,
- et AU-053, si la conservation de la donnée d’empreinte est centralisée

Ces deux autorisations uniques abrogent les autorisations ci-dessous :
- AU-007 (contrôle d’accès par contour de main)
- AU-008 (empreinte digitale sur le lieu de travail)
- AU-019 (réseau veineux sur le lieu de travail)
- AU-027 (contrôle d’accès par empreinte digitale)

Si vous faites du contrôle biométrique, sur la base de ces précédentes autorisations, veillez à vous remettre en conformité avec les nouvelles autorisations AU-052 ou AU-053.

Pour plus d’informations, rendez vous sur le portail de la CNIL dédié à la biométrie.

IRP et contrôle d'accès

La consultation des Institutions Représentatives du Personnel (IRP) est requise avant la mise en place d’un système de gestion du contrôle d'accès.

Extrait de l'Article L2323-32 : (…) Le comité d'entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés.

Retrouvez tous les articles de loi en lien avec la consultation des IRP pour la mise en place d'un système de contrôle d'accès.

Pour assurer votre conformité à la règlementation, vous devez également informer tous vos salariés des :
- Finalités poursuivies du dispositif
- Procédures et modalités de fonctionnement du système
- Destinataires et des traitements réalisés sur les données collectées

 

 

 

 

 

 

 

 

 

 

 

 

 

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de Cookies. En savoir plus