Reconnaissance de l'empreinte digitale

La gestion des contrôles de l'accès physique à l'entrée des lieux de travail et dans les zones limitativement identifiées de l'organisme faisant l'objet d'une restriction de circulation peut s'effectuer grâce à la mise en œuvre de traitements automatisés de données à caractère personnel reposant sur l'utilisation d'un dispositif de reconnaissance des l'empreintes digitales avec enregistrement de celles-ci sur un support individuel. Dès lors, de tels dispositifs relèvent de l'article 25-8° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l'identité des personnes. Il y a lieu, en l'état des connaissances sur la technologie utilisée, de faire application des dispositions de l'article 25-II aux termes duquel les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et les mêmes destinataires ou catégories de destinataires a été autorisés par une décision unique de la Commission (n°AU-008 - Délibération n°2006-102 du 27 avril 2006). Le responsable de traitement mettant en œuvre un dispositif reposant sur la reconnaissance de l'empreinte digitale avec enregistrement sur un support individuel dans le respect des dispositions de cette décision unique adresse à la Commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation. Décide que les responsables de traitement qui adressent à la Commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.

Géolocalisation : Certains employeurs équipent leurs véhicules professionnels de dispositifs de géolocalisation GPS/GSM. Compte tenu des risques d’atteinte aux droits et libertés des personnes que comporte l’utilisation de ces dispositifs, la CNIL a estimé nécessaire de préciser, dans une recommandation du 16 mars 2006, les conditions dans lesquelles ils pouvaient être utilisés.

Un dispositif de géolocalisation peut être mis en place pour les finalités suivantes à savoir :

• la contribution à la sécurité des personnes ou des marchandises transportées ;
• une meilleure gestion des moyens en personnel et véhicules (prestations à accomplir en des lieux dispersés) ;
• le suivi et la facturation d’une prestation ;
• le suivi du temps de travail des employés, lorsque ce suivi ne peut être réalisé par d’autres moyens.

En revanche, le recours à la géolocalisation n’est pas justifié lorsqu’un employé dispose d’une liberté dans l’organisation de ses déplacements (visiteurs médicaux, VRP, etc.).

L’utilisation d’un dispositif de géolocalisation ne doit pas conduire à un contrôle permanent de l’employé concerné. Ainsi, la CNIL recommande la désactivation du système embarqué dans les véhicules de fonction des employés en dehors des horaires de travail.

La mise en œuvre d’un traitement de géolocalisation :

• ne doit pas permettre la collecte d’informations concernant les éventuels dépassements des limitations de vitesse ;
• doit nécessairement s’accompagner de mesures de sécurité limitant l’accès aux données de géolocalisation aux personnes habilitées ;
• nécessite de fixer une durée de conservation adéquate de ces données (généralement 2 mois) ;
• implique au préalable la consultation des instances représentatives du personnel et l’information individuelle des employés concernés relative à la finalité du traitement, les données traitées, leur durée de conservation, les destinataires des données, leurs droits d’accès, de rectification et d’opposition;
• ne doit pas s’appliquer aux employés investis d’un mandat électif ou syndical lorsqu’ils agissent dans le cadre de leur mandat.

Gestion des rémunérations : Les traitements de gestion des rémunérations, des registres obligatoires et des déclarations sociales obligatoires mis en œuvre par les employeurs privés sont des traitements extrêmement courants et standardisés qui ne sont pas susceptibles, dans le cadre de leur utilisation régulière, de porter atteinte à la vie privée des salariés concernés. La Commission estime en conséquence qu'il y a lieu de faire application des dispositions de l'article 24 de la loi du 6 janvier 1978 modifiée et de dispenser ces traitements de toute formalité déclarative préalable s’ile répondent aux conditions contenues dans la délibération 2004-097 du 9 décembre 2004 valant dispense n°2.

Liste d’initiés : Parmi les mesures destinées à assurer la transparence et l'intégrité des marchés financiers, la loi n° 2005-811 du 20 juillet 2005 impose aux sociétés émettrices d'instruments financiers admis aux négociations sur un marché réglementé - ou en cours d'admission - d'établir la liste des personnes physiques ou morales qui, travaillant pour ces sociétés dans le cadre d'un  contrat de travail ou dans un autre cadre juridique, ont accès de manière régulière ou occasionnelle à des informations privilégiées se rapportant directement ou indirectement à ces sociétés. Les tiers, personnes physiques ou morales, qui ont accès aux mêmes informations à l'occasion des relations professionnelles qu'ils entretiennent avec les sociétés émettrices et qui figurent à ce titre sur les listes susmentionnées sont assujettis, dans les mêmes conditions, à la même obligation. Ces listes, dites d'initiés, sont destinées à faciliter l'identification, au cours des enquêtes de l'Autorité des marchés financiers (AMF), des personnes susceptibles d'avoir commis un délit d'initié et à sensibiliser ces personnes aux obligations liées à la détention d'informations privilégiées. Les traitements automatisés mis en œuvre à cette fin ont vocation à se multiplier. Leur contenu et les modalités de conservation, d'utilisation et de communication des données y figurant sont dans une large mesure définis par la réglementation en vigueur. Les personnes inscrites sur ces listes doivent en être informées. En outre, ces traitements ne sont pas susceptibles, sous réserve du respect des conditions prescrites par la présente délibération, de porter atteinte à la vie privée ou aux libertés des personnes physiques concernées. La Commission estime en conséquence qu'en application du premier alinéa du II de l'article 24 de la loi du 6 janvier 1978 susvisée, il y a lieu de dispenser de toute formalité déclarative préalable les traitements automatisés qui ont pour finalité la tenue des listes d'initiés lorsqu'ils sont conformes aux dispositions de la délibération n°2006-186 du 6 juillet 2006 (dispense n°9).

Vidéosurveillance : Le régime juridique est clair dans deux cas :

Premier cas : seule une autorisation préfectorale est nécessaire, quand le dispositif de vidéosurveillance est installé dans un lieu public ou ouvert au public et qu’aucune image n’est enregistrée ni conservée dans des traitements informatisés ou des fichiers structurés qui permettent d’identifier des personnes physiques ;

Deuxième cas : seule une déclaration auprès de la CNIL est nécessaire, quand le dispositif est installé dans un lieu privé ou non ouvert au public et que les images sont enregistrées ou conservées dans des traitements informatisés ou des fichiers structurés qui permettent d’identifier des personnes physiques.

Le régime juridique n’est pas clair et pose problème lorsque le dispositif de vidéosurveillance est installé dans un lieu mixte (lieu ouvert au public qui comporte également des zones privées, par exemple un supermarché) et les images enregistrées dans un fichier ou traitées informatiquement. Dans cette hypothèses une déclaration auprès de la CNIL est nécessaire. Se pose toutefois la question du cumul avec la loi de 1995 (autorisation préfectorale).

Lorsque le dispositif d’enregistrement vidéo fait appel à des moyens informatiques (ex : surveillance vidéo IP, stockage des images sur support numérique, etc.) il est nécessaire de déclarer le dispositif à la CNIL.

Lorsque le système s’accompagne d’un dispositif biométrique (ex : reconnaissance faciale, analyse comportementale), Il doit faire l’objet d’une demande d’autorisation auprès de la CNIL puisqu’il fait appel à une technique biométrique

Une réflexion préalable à l’installation d’un système de vidéosurveillance, basée sur une analyse précise des risques doit être menée afin d’identifier des solutions alternatives (une sécurisation des accès au moyen de badges magnétiques peut par exemple constituer la réponse efficace et adaptée à un objectif particulier de sécurisation).

La mise en œuvre d’un système de vidéosurveillance des employés doit nécessairement respecter le principe de proportionnalité. Elle doit donc s’effectuer de façon adéquate, pertinente, non excessive et strictement nécessaire à l’objectif poursuivi.

Si le déploiement de tels dispositifs sur un lieu de travail répond généralement à un objectif sécuritaire (contrôle des accès aux locaux, surveillance de zones de travail à risques), il ne peut ainsi avoir pour seul objectif la mise sous surveillance spécifique d’un employé déterminé ou d’un groupe particulier d’employés.

Le nombre, l’emplacement, l’orientation, les fonctionnalités et les périodes de fonctionnement des caméras, ou la nature des tâches accomplies par les personnes devant être soumises à la vidéosurveillance, sont autant d’éléments à prendre en compte lors de l’installation du système.

L’enregistrement du son associé aux images rend le système encore plus intrusif. Dès lors, ce type d’enregistrements est disproportionné, sauf justification particulière.

Les personnes concernées (employés ou visiteurs) doivent être informées, au moyen d’un panneau affiché de façon visible dans les locaux sous vidéosurveillance, de l’existence du dispositif, des destinataires des images, ainsi que des modalités concrètes d’exercice de leur droit d’accès aux enregistrements visuels les concernant.

Les instances représentatives du personnel doivent être consultées avant toute mise en œuvre d’un système de vidéosurveillance et précisément informées des fonctionnalités envisagées (article L2323-32 du code du travail, textes relatifs aux trois fonctions publiques, lois n° 84-16 du 11 janvier 1984, n° 84-53 du 26 janvier 1984 et n° 86-33 du 9 janvier 1986).

Les images enregistrées ne peuvent être visionnées que par les seules personnes habilitées à cet effet, dans le cadre de leurs fonctions (par exemple : le responsable de la sécurité de l’organisme). Ces personnes doivent être particulièrement formées et sensibilisées aux règles encadrant la mise en œuvre d’un système de vidéosurveillance.

Les images ne devraient pas être conservées plus de quelques jours : Leur durée de conservation ne doit en tout état de cause s’étendre au-delà d’un mois. Lorsque c’est techniquement possible, une durée maximale de conservation des images doit être paramétrée dans le système.