Contrôle d'accès et CNIL

Réglementation concernant la mise en place d'une gestion des contrôles d'accès aux locaux

La mise en place d’une solution de gestion des accès suppose la protection des données personnelles des collaborateurs et visiteurs qui seront soumis au contrôle d’accès. En France, la Commission Nationale de l'Informatique et des Libertés (CNIL) veille au suivi de la réglementation européenne en vigueur.

Contrôle d'accèsNos références

arrow down

CNIL et contrôle d'accès aux locaux

Quelles sont les formalités à déclarer à la CNIL en matière de contrôle d'accès ?

Depuis l’entrée en vigueur du Règlement pour la Protection des Données Personnelles (RGPD) le 25 mai 2018, la mise en place d’un système de contrôle d’accès ne requiert plus de déclaration spécifique obligatoire auprès de la CNIL.

Néanmoins, les entreprises et organisations demeurent responsables de la protection des données personnelles de leurs collaborateurs, en application du RGPD. Elles doivent s’engager dans un processus de gestion et de protection, documenté, des données personnelles qu’elles traitent et qui peuvent concerner aussi bien leurs collaborateurs, que les visiteurs ou prestataires amenés à utiliser le système de contrôle d’accès

Contrôle d'accès et CNIL

Des déclarations auprès de la CNIL restent obligatoires dans les cas suivants :

  • Déclaration de votre analyse de risque (PIA/Analyse d’impact sur la Protection des Données) si elle présente un risque élevé (Formulaire CNIL)
  • Déclaration de votre DPO (Data Protection Officer) (Formulaire CNIL)
  • Justification pour traitement de données sensibles (exemple : biométrie)
  • Notification en cas de violation de données à caractère personnel (Formulaire CNIL)
  • Transfert de données personnelles hors pays dits « de confiance » (CNIL carte du monde, CNIL guide de transfert).

Utilisation de la biométrie dans les systèmes de contrôle d’accès

Peut-on utiliser la biométrie en France pour contrôler les accès ?

Le contrôle par biométrie est autorisé en France dans le cadre d’un usage en contrôle d’accès, s’il remplit les conditions suivantes :

  • Il ne sert qu’à contrôler des accès à des zones restreintes ou appareils et applications informatiques précis
  • Il ne sert pas à contrôler les horaires des employés
  • Il est considéré comme un traitement de données à haut risque : analyse de risque (PIA / AIPD) obligatoire
  • Les instances représentatives du personnel sont informées et consultées
  • Les employés sont informés par une notice explicative
  • Le recours à la biométrie est justifié. Cette justification a été validée par la CNIL.

La démarche de justification auprès de la CNIL passe par une demande d’autorisation préalable. Depuis le 30 juin 2016, la CNIL a adopté deux autorisations uniques à cet effet :

  • AU-052 , si la donnée d’empreinte (gabarit, donnée dactylographique) est conservée par la personne, comme par exemple sur son badge
  • AU-053, si la conservation de la donnée d’empreinte est centralisée.

Ces deux autorisations uniques abrogent les autorisations ci-dessous :

  • AU-007 (contrôle d’accès par contour de main)
  • AU-008 (empreinte digitale sur le lieu de travail)
  • AU-019 (réseau veineux sur le lieu de travail)
  • AU-027 (contrôle d’accès par empreinte digitale).

Si vous faites du contrôle biométrique, sur la base de ces précédentes autorisations, veillez à vous remettre en conformité avec les nouvelles autorisations AU-052 ou AU-053.
Pour plus d’informations, rendez-vous sur le portail de la CNIL dédié à la biométrie.

Kelio-conforme-a-la-CNIL

IRP et contrôle d'accès

Qui informer lors de la mise en place d'un dispositif de contrôle des accès ?

La consultation des Institutions Représentatives du Personnel (IRP) est requise avant la mise en place d’un système de gestion du contrôle d'accès.

Extrait de l'Article L2323-32 : le comité d'entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés.

Retrouvez tous les articles de loi en lien avec la consultation des IRP pour la mise en place d'un système de contrôle d'accès.

Pour assurer votre conformité à la règlementation de la CNIL vous devez également informer tous vos salariés des :

  • Finalités poursuivies du dispositif
  • Destinataires et du traitements qu'ils opèrent sur les données collectées
  • De leurs droits d’accès et de rectification.

NOS CLIENTS NOUS FONT CONFIANCE, POURQUOI PAS VOUS ?


30 ans d'expertise

Présent à l'international

Installation

Interlocuteur dédié

Proximité et disponibilité

Certifié ISO

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de Cookies. En savoir plus