Contrôle d’aCCès
Reconnaissance du réseau veineux,une biométrie allégéeLa Cnil a assoupli les formalités pour la mise en œuvre de dispositifs sécuritairesbiométriques, telle la reconnaissance du réseau veineux.EmmanuEl WallE, avocat, alaIn BEnSouSSan-avocatS
p Vidéosurveillance, géolo-calisation et biométrie fontdésormais partie de la pano-plie sécuritaire des espacesprivés ou publics. Aujourd’hui,l’accès à une salle d’examen ou
à un bloc opératoire peut ainsi être soumis àl’obligation de scanner le réseau veineux pal-maire du candidat ou du personnel médical(délib. 2009-360 du 18/6/09 et 2009-174 du26/3/09). En application de la loi Informatiqueet libertés (6/1/78, modifiée en 2004), les dis-positifs de reconnaissance biométrique sont,pour la plupart, soumis à une autorisationpréalable de la Cnil. Or, cette dernière vientd’alléger les formalités d’autorisation pour lamise en œuvre de dispositifs biométriquesreposant sur la reconnaissance du réseau vei-neux des doigts de la main, privilégiant ainsiles dispositifs d’identification sans contact(délib. 2009-316 du 7/5/09 portant autorisa-tion unique de mise en œuvre de dispositifsbiométriques reposant sur la reconnaissancedu réseau veineux des doigts de la main etayant pour finalité le contrôle de l’accès auxlocaux sur les lieux de travail). Encore faut-il que cette technique ne soit affectée qu’aucontrôle de l’accès des locaux sur le lieu detravail. La société, qui souhaite s’équiper d’untel dispositif dans le respect des dispositionsde la décision unique n°AU-019, doit adresserà la Cnil un engagement de conformité.La biométrie regroupe les techniques infor-matiques permettant de reconnaître auto-matiquement un individu à partir de sescaractéristiques physiques, biologiques, voirecomportementales. Ces données sont ainsiconsidérées comme des données à caractèrepersonnel, permettant d’identifier une per-sonne de manière irrévocable. Or, selon la loiInformatique et libertés, tous les traitementscomportant des données biométriques doi-vent faire l’objet d’une autorisation préala-ble de la Cnil.
Parmi les données biométriques utiliséesaujourd’hui, la Cnil considère l’empreintedigitale comme une donnée à risque dont ladiffusion, non maîtrisée ou accidentelle, peutavoir des conséquences irrémédiables pour lespersonnes. Contrairement à tout autre iden-tifiant (code, mot de passe), l’empreinte digi-tale ne peut être modifiée une fois collectée,ce qui impose d’en limiter l’usage pour évi-ter une usurpation d’identité presque «par-faite». Cette «biométrie à trace» est doncparticulièrement encadrée par la Cnil qui, l’andernier, a refusé d’autoriser plusieurs dispo-sitifs ne pouvant justifier d’un fort impératifde sécurité. Pour la Cnil, confier ses donnéesbiométriques à un tiers doit répondre à unenécessité a priori exceptionnelle et être entou-rée de garanties sérieuses.
Cette technologie doit tout d’abord présentercertaines caractéristiques techniques (chif-frage de l’enregistrement du gabarit veineuxou possibilité d’associer d’autres donnéesd’identification –nom, prénom, photogra-phie– au gabarit du réseau veineux du doigt).La Cnil précise que le gabarit veineux doit êtreenregistré dans la mémoire du lecteur biomé-trique ou sur un support individuel sécurisé.La durée de conservation des données doitêtre fixée (de trois mois à cinq ans selon lescas). Le responsable du traitement doit éga-lement prendre «toutes les précautions utilespour préserver la sécurité et la confidentia-lité des données traitées, et notamment pourempêcher qu’elles soient déformées, endom-magées ou que des tiers non autorisés puis-sent en prendre connaissance» (Art. 34 loidu 6/1/78 modifiée). Enfin, l’information desemployés et des instances représentatives dupersonnel doit être effectuée avant la miseen œuvre effective du dispositif biométri-que, au risque d’une peine pouvant attein-dre 300000 euros d’amende et cinq ans deprison. .
Créd
it
l’EnjEu> distinguer lesautorisationsdélivrées parla Cnil selonqu’il s’agissed’un dispositifà empreintedigitaleou d’uneidentificationeffectuée par leréseau veineux.
la mISE En œuvrE> adresserà la Cnil unengagementde conformité.
JurisprudenceaccIdEnt du travaIlL’employeur nepeut pas demanderune expertisepour trancher lacontestation avec laCPAM sur le caractèreprofessionnel d’unaccident.(Cass. Civ 2, 4.2.2010,N°213, Kereolc/ CPAM du Morbihan)
vIolEncE au travaIlLes salariés victimesde violences deleur patron ou d’uncollègue peuventdemander uneindemnisation auFonds de garantie desvictimes d’infractions.(Cass. Civ 2, 4.2.2010,N°207, Gueboulic/ Fonds de garantiedes victimes d’infractions)
tranSfErtdu contratEn cas de cessiond’entreprise, le salariébénéficie aussitôt de laconvention collectivedu cessionnaire, maisgarde les dispositionsplus favorablesde l’ancien accord.(Cass. Soc, 10.2.2010,N°323, Mecasem c/ Legros)
cHSctLe CHSCT nepeut pas recourirà une expertiselorsqu’un projetde réorganisationn’est pas de natureà modifier lesconditions de santé,de sécurité ou detravail des salariés.(Cass. Soc, 10.2.2010,N°325, CHSCT Nextiraonec/ Nextiraone France)
maîtrE d’œuvrELe maître d’œuvre quiinstalle un matériel esttenu d’une obligationde résultat à l’égarddu maître d’ouvrage.(Cass. Com, 16.2.2010,N°205, Somivalc/ CMCIC et a.)
L’usine nouveLLe | N° 3184 | 18 mars 2010
99juridiquewww.usinenouvelle.com
Recommended
