Gestion des accès : la réglementation

La gestion des accès repose sur des dispositifs de collecte et de traitement de données personnelles. A ce titre, ils sont régis par un arsenal juridique destiné à faire respecter la vie privée des salariés et des visiteurs.

La CNIL, référence maîtresse

Dans le cadre de sa mission de protection des libertés et de l’identité contre les abus du numérique, la CNIL prévoit des procédures réglementées pour la gestion des accès. Celles-ci sont fonction du type de technologie utilisée et de son utilisation.

  • Les procédures
    Norme simplifiée n°42

    1. Elle établit les limites d’application des systèmes d’accès automatisés et des données personnelles collectées à cet effet.
    2. C’est une déclaration ordinaire, sous forme simplifiée
    3. Elle est destinée aux entreprises qui font un usage classique de leurs dispositifs d’accès sécurisé.

    – Régime d’avis préalable
    Une demande d’avis à la CNIL est obligatoire avant toute démarche d’acquisition d’un dispositif de stockage de données pour le contrôle des accès.

    – Régime d’autorisation unique
    Ce régime concerne des demandes portant sur un usage bien spécifique des données. L’autorisation est donnée à titre spécifique.

  • 4 principes à respecter pour une administration des accès dans les règles
    – Information du salarié
    – Proportionnalité entre le dispositif et les besoins de l’entreprise
    – Sécurité de l’identité
    – Objectivité : le dispositif doit être justifié par des impératifs réels.
    Bon à savoir : les demandes sont à faire en ligne sur le site de la CNIL

Gestion des accès biométriques : un cas particulier

La loi Informatique et Libertés du 6 janvier 1978 prévoit certaines dispositions spécifiques.
Depuis 2004, il est obligatoire de déposer une demande préalable à toute installation de système biométrique.
La CNIL distingue deux cas de figure :

  • Les données appelées « à trace »
    Telles les empreintes digitales, l’entreprise peut les stocker afin d’identifier les membres de son personnel et gérer leur accès aux locaux.Ces données sont présentes partout et peuvent être prélevés à des fins d’usurpation d’identité. Par exemple, il est possible de prélever les empreintes digitales d’un salarié sur un verre ou un meuble de bureau et de les reproduire. Ces données présentent un double risque pour gérer les accès :
    – Pour l’entreprise, celui de voir un membre non autorisé accéder à ses locaux après usurpation.
    – Pour le salarié, celui de voir son identité utilisée à des fins frauduleuses.
    IMPORTANT: Il est vivement recommandé d’éviter le stockage de données à risques sur un fichier centralisé. Le stockage sur un support individuel est préconisé.
  • Les autres données
    L’iris, le dessin des veines de la main, sont des caractéristiques utilisées en accès biométrique. Ces données ont l’avantage de ne pas être reproductibles. La CNIL considère donc les systèmes de gestion des accès basés sur ce type de données comme plus avantageux pour le salarié car sans risque pour son identité.
    IMPORTANT : ce type de données, bien plus sûr, est toléré en fichier centralisé.

La gestion des accès et le code du travail

  • Article L.121-8
    – Information
    Cet article stipule que le salarié doit être préalablement informé de la collecte de données le concernant. Il doit être également informé du dispositif utilisé pour cette collecte.
  • Article L.120-2
    – Restriction
    Cet article concerne les restrictions d’accès. Le dispositif de traitement des données doit être utilisé à des fins raisonnables.
  • Articles L 412-17, L 424-3, L 434-1
    – Représentants du personnel
    Il est interdit d’utiliser un système d’accès sécurisé afin d’enfreindre la liberté de mouvement des représentants syndicaux dans l’entreprise. L’utilisation à des fins de traçage est également prohibée.
  • Article L432-2-1
    – Comité d’entreprise
    Le Comité d’entreprise doit être informé avant toute installation d’un système de contrôle des accès entrainant le stockage de données. Il doit également être averti en cas de changement du dispositif ou de ses conditions d’utilisation.

La gestion des accès et le code civil

  • Article 9
    Concerne le droit au respect de la vie privée prévue par la loi du 26 juillet 1970