Le règlement général sur la protection des données (RGPD) va bientôt fêter son premier anniversaire d'entrée en vigueur et les travaux autour de ce texte continuent. La Cnil vient ainsi de publier un règlement type lié à l'utilisation de la biométrie sur les lieux de travail. La loi sur la protection des données personnelles a donné à la Commission la mission de publier, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, « des règlements types en vue d'assurer la sécurité des systèmes de traitement de données à caractère personnel et de régir les traitements de données biométriques, génétiques et de santé ».

Concrètement, la biométrie est souvent utilisée pour l'accès à certains sites et à des applications. Elle est une alternative au traditionnel mot de passe. Par biométrie au sein des systèmes d'information, on entend le procédé de vérification de l'identité et d'authentification d'un individu en utilisant des caractéristiques inhérentes à sa personne (ex : son visage, sa démarche, son empreinte digitale,...). Les données générées sont considérées comme sensibles selon le RGPD.

Dans son règlement type, la Cnil intègre plusieurs dispositions. On retrouve ainsi un encadrement du recours à la biométrie à des fins de contrôle des accès aux locaux, au matériel ou encore aux applications de travail ; l'obligation l'organisme à justifier le recours à la biométrie, par des considérations spécifiques (contexte, enjeux, contraintes techniques et réglementaires particulières,...) particulièrement détaillées pour les types de biométrie présentant le plus de risques. Par ailleurs, il exige des responsables de traitement la réalisation d'une « analyse d'impact relative à la protection des données. Une foire aux questions pour approfondir les différentes dispositions du règlement type est disponible sur le site de la Cnil. Les concernés trouveront des éléments sur le type de stockage pertinent pour les données biométriques, le gabarit, l'obligation ou non du consentement des salariés, etc.