Délibération CNIL n° 2015-087, 05-03-2015, refusant la mise en oeuvre par la BANQUE INTESA SANPAOLO d'un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l'empreinte digitale

Délibération CNIL n° 2015-087, 05-03-2015, refusant la mise en oeuvre par la BANQUE INTESA SANPAOLO d'un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l'empreinte digitale

Lecture: 5 min

X5090AP9



Délibération n° 2015-087

du 5 mars 2015

refusant la mise en oeuvre par la BANQUE INTESA SANPAOLO d'un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l'empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail

La Commission nationale de l'informatique et des libertés,

Saisie par la BANQUE INTESA SANPAOLO d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l'empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail ;

Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 25-I-8° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Sur la proposition de Mme Marie-France MAZARS, commissaire, et après avoir entendu M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,

Formule les observations suivantes :

Afin de contrôler et de suivre le temps de travail de ses salariés, la BANQUE INTESA SANPAOLO, a saisi la Commission nationale de l'informatique et des libertés (CNIL) d'un traitement de données comportant un dispositif biométrique de reconnaissance de l'empreinte digitale.

A titre liminaire, il convient de rappeler qu'à l'issue d'une concertation avec les principales organisations syndicales et patronales, la Commission a modifié le champ d'application de l'autorisation unique n°7 (AU-007) portant sur la mise en œuvre de traitements reposant sur la reconnaissance du contour de la main.

Par délibération du 20 septembre 2012 (n°2012-322), la finalité de contrôle des horaires a été exclue du champ de cette autorisation unique. L'AU-007 en vigueur vise uniquement les finalités de " contrôle d'accès à l'entrée et dans les locaux limitativement identifiés de l'organisme faisant l'objet d'une restriction de circulation ; le contrôle de l'accès au restaurant d'entreprise [… et] le contrôle d'accès des visiteurs " (article 1er).

Le recours à un dispositif biométrique pour le contrôle des horaires exige que le responsable de traitement effectue auprès de la CNIL une demande d'autorisation spécifique sur le fondement de l'article 25-I-8° de la loi du 6 janvier 1978 modifiée.

Une telle demande d'autorisation doit s'inscrire dans le cadre de circonstances exceptionnelles fondées sur un impératif spécifique de sécurité, comme rappelé par la Commission lors de la modification de l'AU-007, qui seraient susceptibles de justifier, notamment, la proportionnalité du recours à un dispositif biométrique ayant pour finalité le contrôle des horaires des salariés.

Le traitement automatisé de données à caractère personnel que la BANQUE INTESA SANPAOLO souhaite mettre en œuvre repose sur un dispositif biométrique de reconnaissance de l'empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail. Elle justifie sa démarche de recourir à ce dispositif biométrique suite à une décision prise par le siège basé en Italie qui a mis en place un système biométrique identique dans d'autres pays où sont implémentées des agences du groupe.

Selon la BANQUE INTESA SANPAOLO, le dispositif biométrique présente l'avantage d'être simple d'utilisation en évitant le contrôle par badge ou identifiant.

La Commission insiste sur le fait qu'une donnée biométrique constitue un élément d'identité irrévocable dont la diffusion non maîtrisée, ou accidentelle, peut avoir des conséquences irrémédiables pour les personnes. En effet, à la différence de tout autre identifiant (code, mot de passe, autre), la donnée biométrique, qui est permanente et propre à chaque personne physique, ne peut être modifiée. Ainsi, dans l'hypothèse d'un accès non autorisé à cette donnée, celle-ci est réputée compromise de manière définitive, c'est-à-dire ne permettant plus un contrôle fiable de l'identité des personnes concernées.

En l'état actuel de la technique, il apparaît que l'empreinte digitale présente la caractéristique de pouvoir être capturée à l'insu des personnes concernées. Dès lors, la Commission rappelle que demeure un risque sérieux de détournement de ces données, d'accès non autorisé aux données ou de mauvais usage des données biométriques personnelles des utilisateurs.

Concrètement, outre une possible faille de sécurité ou un détournement de finalité par le responsable de traitement ou un tiers, l'empreinte digitale pourrait être utilisée pour usurper l'identité d'une personne, notamment pour frauder un autre dispositif reposant sur la reconnaissance de l'empreinte digitale.

Conformément à l'article 1er de la loi du 6 janvier 1978 modifiée, la Commission rappelle que la mise en place d'un tel dispositif ne doit " porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ". En outre, il convient d'examiner ledit traitement au regard des principes relatifs à la protection des données à caractère personnel, et notamment, de l'article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

En l'espèce, la Commission constate qu'aucune circonstance exceptionnelle n'est démontrée et que le dispositif biométrique de contrôle et du suivi du temps de travail des salariés ne résulte pas de la mise en œuvre de mesures de sécurité telles qu'identifiées par une analyse de risques.

Au regard de l'ensemble de ces éléments, la Commission observe que le traitement envisagé ne relève pas d'une finalité de sécurité justifiant un recours impératif à la biométrie.

En outre, concernant la demande qui lui a été soumise, la Commission relève particulièrement l'impossibilité pour les personnes concernées de recourir à un dispositif alternatif au dispositif biométrique.

En conséquence, elle considère que le recours exclusif à un dispositif biométrique de reconnaissance de l'empreinte digitale n'apparait ni adapté ni proportionné à la finalité poursuivie au sens de l'article 6-3° précité.

Dans ces conditions, la Commission n'autorise pas la BANQUE INTESA SANPAOLO à mettre en œuvre un traitement de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l'empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail.

La Présidente

I. FALQUE-PIERROTIN

Revues liées à ce document

Ouvrages liés à ce document

Décisions de Références

Textes juridiques liés au document



Cookies juridiques

Considérant en premier lieu que le site requiert le consentement de l'utilisateur pour l'usage des cookies; Considérant en second lieu qu'une navigation sans cookies, c'est comme naviguer sans boussole; Considérant enfin que lesdits cookies n'ont d'autre utilité que l'optimisation de votre expérience en ligne; Par ces motifs, la Cour vous invite à les autoriser pour votre propre confort en ligne.

En savoir plus