icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2011-31 du 11 avril 2011 portant recommandation sur certains dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d’accès et/ou la gestion des horaires sur le lieu de travail, mis en œuvre par les personnes physiques ou morales de droit privé.

  • N° journal 8013
  • Date de publication 22/04/2011
  • Qualité 97.25%
  • N° de page 732
Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la Recommandation du Conseil de l’Europe n° R (89) 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;

Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu la loi n° 459 du 19 juillet 1947 portant modification du statut des délégués du personnel ;

Vu la loi n° 957 du 18 juillet 1974 relative à l’exercice du droit syndical dans les entreprises ;

Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;

Vu le rapport de la Commission en date du 11 avril 2011 ;

La Commission de Contrôle des Informations Nominatives

Conformément à l’article 1er de la loi n° 1.165 du 23 décembre 1993, modifiée, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.

La Commission de Contrôle des Informations Nominatives, autorité administrative indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.

Par la présente délibération, la Commission souhaite préciser les grands principes de protection des informations nominatives applicables aux dispositifs biométriques reposant sur la reconnaissance du contour de la main, dispositifs utilisés à des fins de contrôle d’identité et/ou de surveillance relevant des dispositions de l’article 11-1 de la loi n° 1.165 précitée, et ce afin d’orienter les demandeurs d’autorisation dans leurs démarches auprès d’elle.

I. Dispositions générales

Dans un contexte où se mêlent technologie et sécurité, la biométrie tend à s’imposer dans un certain nombre de pays comme une méthode privilégiée d’identification tant pour les entreprises que pour les organismes de droit privé.

Or, la Commission rappelle que la donnée biométrique n’est pas une donnée d’identité comme les autres. Elle n’est pas attribuée par un tiers ou choisie par la personne. Elle provient de son corps lui-même et le désigne de façon définitive. Le mauvais usage ou le détournement d’une telle donnée peut alors avoir des conséquences graves. C’est pour cela que le recours à la biométrie doit être strictement encadré.

Ainsi, les traitements exploitant ce genre de données dans le contexte précité sont soumis à l’autorisation de la Commission en vertu de l’article 11-1 de la loi n° 1.165, modifiée, applicable aux acteurs du secteur privé, à savoir :

- les personnes physiques ou morales de droit privé, visées à l’article 6 de la loi n° 1.165, modifiée ;

- les organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public portés sur une liste établie par arrêté ministériel, telle que mentionnée à l’article 7 de ladite loi.
Les personnes concernées par ces traitements sont les employés de l’entreprise ou de l’organisme, quelle que soit la nature de leur emploi (salariés et consultants en mission) mais également les visiteurs qui y sont de passage.

Sont exclusivement concernés par la présente recommandation les dispositifs biométriques reposant sur la reconnaissance du contour de la main et dont la donnée biométrique est le gabarit du contour de la main.

D’un point de vue technique, s’agissant d’une donnée biométrique dite «sans trace», et eu égard au fait que celle-ci évolue dans le temps, la Commission admet que le stockage de cette donnée biométrique puisse s’effectuer, exclusivement sous une forme chiffrée :

- sur un support individuel de stockage sécurisé qui reste en possession de la personne concernée ;

- dans la mémoire d’un terminal de lecture-comparaison ne disposant d’aucun port de communication permettant l’extraction de la donnée biométrique ;

- dans une base de données.

Ne sont donc pas concernés par la présente recommandation les dispositifs :

- enregistrant une image ou une photographie du contour de la main ;

- dont les éléments pris en compte ne reposent pas exclusivement sur la géométrie de la main.

II. Licéité des dispositifs biométriques reposant sur la reconnaissance du contour de la main

Aux termes de l’article 10-1 la loi n° 1.165 du 23 décembre 1993, susvisée, «les informations nominatives doivent être collectées et traitées loyalement et licitement […] pour une finalité déterminée, explicite et légitime, et ne pas être traitées ultérieurement de manière incompatible avec cette finalité».

A ce titre, la Commission rappelle les dispositions de l’article 2 de la Recommandation n° R(89) du Conseil de l’Europe du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins
d’emploi, aux termes desquels «le respect de la vie privée et de la dignité humaine de l’employé, en particulier la possibilité de relations sociales et individuelles sur le lieu de travail, devrait être préservé lors de la collecte et de l’utilisation de données à caractère personnel à des fins d’emploi».

Par ailleurs, elle rappelle également que l’article 6.1 de ladite Recommandation dispose que «les données à caractère personnel collectées à des fins d’emploi ne devraient être utilisées par l’employeur qu’à de telles fins».

En conséquence, la Commission appelle l’attention des entreprises et organismes concernés sur le fait que les informations nominatives des employés et des visiteurs, exploitées dans le cadre des traitements qui font appel aux dispositifs concernés par la présente délibération, ne sauraient être détournées de la finalité pour laquelle elles ont initialement été collectées.

En outre, ces dispositifs ne sauraient donner lieu à des pratiques abusives portant atteinte aux libertés et droits fondamentaux des employés et des visiteurs, mais également aux droits conférés par la loi aux délégués du personnel et aux délégués syndicaux.
C’est pourquoi, conformément aux dispositions de l’article 11-1 de la loi n° 1.165, modifiée, le demandeur devra apporter les éléments permettant à la Commission de s’assurer que le traitement est «nécessaire à la poursuite d’un objectif légitime essentiel», et que les droits et libertés des personnes seront protégés.

III. Justification des dispositifs biométriques reposant sur la reconnaissance du contour de la main

En application de l’article 10-2 de la loi n° 1.165, modifiée, la Commission considère que les traitements visés dans le cadre de la présente délibération peuvent être justifiés lorsqu’ils sont mis en œuvre aux fins de :

- répondre à une obligation légale à laquelle est soumis le responsable de traitement ou son représentant ; ou,

- répondre à un motif d’intérêt public, ou ;

- permettre la réalisation d’un intérêt légitime poursuivi par le responsable de traitement ou son représentant ou par son destinataire, à la condition de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée ; ou,

- permettre l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée.

La Commission estime également qu’un tel traitement peut être justifié par le consentement de la personne concernée. Néanmoins, elle appelle l’attention des responsables de traitement sur le fait que cette justification, qui sera appréciée de manière très stricte et in concreto, doit être étayée et expliquée, notamment si la personne concernée est liée à l’entreprise ou l’organisme par un contrat de travail (salarié) ou un ordre de mission (consultant).

IV. Fonctionnalités du traitement

La Commission considère que la mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main ne peut avoir d’autres fonctionnalités que de :

- contrôler l’accès aux entrées et sorties de l’entreprise ou organisme ;

- contrôler l’accès à certains locaux limitativement identifiés comme faisant l’objet d’une restriction de circulation, justifiée par la sécurité des biens et des personnes qui y travaillent ;

- gérer les horaires et les temps de présence des employés ;

- contrôler l’accès des visiteurs ;

- permettre, le cas échéant, la constitution de preuve en cas d’infraction.

La Commission rappelle par ailleurs que ces dispositifs ne sauraient être détournés de leur finalité, et notamment qu’ils ne peuvent en aucun cas conduire à un contrôle permanent et inopportun des employés.

Enfin, elle estime que les contrôles d’accès aux locaux et aux zones limitativement désignées, faisant l’objet d’une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent, ne doivent pas entraver la liberté d’aller et de venir des salariés protégés dans l’exercice de leurs missions.
V. Information de la personne concernée

La Commission rappelle que l’existence de tout traitement d’informations nominatives doit être portée à la connaissance des personnes concernées, conformément à l’article 14 de la loi n° 1.165, modifiée.

Aux termes de cet article, cette information doit porter sur :

- l’identité du responsable de traitement et le cas échéant, celle de son représentant à Monaco ;

- la finalité du traitement ;

- l’identité des destinataires ou des catégories de destinataires des informations ;

- l’existence d’un droit d’opposition, d’accès et de rectification à l’égard des informations les concernant.

La Commission estime donc que les personnes concernées, à savoir les employés et les visiteurs, doivent être informées de l’ensemble de ces éléments par tous moyens qu’il appartiendra au responsable de traitement de déterminer, comme par exemple par voie d’affichage ou par la communication d’une note interne à l’entreprise ou à l’organisme. Concernant les visiteurs, cette information pourrait par exemple prendre la forme d’une mention portée sur le formulaire de collecte des informations personnelles qu’ils remplissent, le cas échéant.

VI. Catégories d’informations traitées

Conformément aux principes d’adéquation et de proportionnalité des informations nominatives collectées, posés par l’article 10-1 de la loi n° 1.165, modifiée, la Commission estime que seules les catégories d’informations suivantes peuvent être traitées :

- Donnée biométrique : gabarit du contour de la main (résultat du traitement des mesures du contour de la main par un algorithme) ;

- Informations relatives à l’identité de l’employé : nom, prénoms, code d’authentification, photographie ;

- Informations relatives à la vie professionnelle : numéro d’identification interne, service, fonction ;

- Informations sur le temps de présence ou horodatage : date et heure d’entrée et de sortie, plages horaires autorisées, date et heure de passage à une zone à accès restreint, cumul des horaires, heures supplémentaires, absences, autorisations d’absence, congés ;

- Accès aux locaux : nom et/ou numéro de la porte d’entrée ou de sortie, ou du point de passage, zones d’accès autorisé ;

- Parking : numéro d’immatriculation du véhicule, numéro de la place de stationnement ;

- Visiteurs : informations d’identité, dates et heures de passage, porte utilisée, organisme ou société d’appartenance, identité de l’employé accueillant le visiteur, gabarit du contour de la main ;

VII. Personnes ayant accès aux informations et destinataires

La Commission estime que l’accès aux informations objet des traitements visés par la présente délibération doit être limité aux seules personnes qui peuvent légitimement en avoir connaissance au regard de leurs fonctions ou de leurs missions, ainsi que de la finalité du traitement.
Sur ce point, la Commission rappelle que, conformément aux dispositions de l’article 17-1, alinéa 2, de la loi n° 1.165 précitée, le responsable de traitement doit «déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées».

Cette liste devra être tenue à jour et être communiquée à la Commission à première réquisition.

Les personnes spécialement habilitées à avoir accès auxdits traitements sont issues des services ayant compétence pour recevoir certaines catégories d’informations nominatives, à savoir :

- Service du personnel / ressources humaines : gabarit du contour de la main, informations relatives à l’identité des employés, informations relatives à la vie professionnelle, informations relatives au temps de présence et horodatage, informations relatives au parking ;

- Service gérant la paie : informations relatives à l’identité de l’employé, à l’exception du code d’authentification, informations relatives à la vie professionnelle, informations relatives au temps de présence ;

- Service gérant la sécurité des locaux : gabarit du contour de la main, informations relatives à l’identité des employés, informations relatives aux visiteurs, date et heure d’entrée et de sortie, plages horaires autorisées, date et heure de passage à une zone à accès restreint, informations relatives à l’accès aux locaux, informations relatives au parking.

La Commission considère que les personnes habilitées du service du personnel ou du service gérant la sécurité des locaux ne peuvent avoir accès au gabarit du contour de la main qu’aux seules fins d’enregistrer ou de supprimer ladite donnée biométrique et uniquement le temps nécessaire pour procéder à ces opérations.

Enfin, elle estime que les autorités judiciaires et policières peuvent être destinataires des informations nominatives traitées, dans le cadre exclusif des missions qui leur sont légalement conférées, pour la recherche de preuves ou la constatation d’infractions. Dans ce cas, elle rappelle que des mesures de sécurité particulières devront être prises, concernant notamment le support sur lequel ces informations sont transmises, ainsi que la procédure de transfert, conformément aux dispositions du point IX de la présente délibération.

VIII. Interconnexions des traitements

Si le traitement a pour fonctionnalité le contrôle des horaires des employés, le dispositif de reconnaissance du contour de la main pourra être interconnecté uniquement avec une application de gestion des horaires et des temps de présence.

Une telle interconnexion ne pourra être possible que pour autant que le responsable de traitement prenne les mesures nécessaires à interdire le transfert de la donnée biométrique et du code d’authentification.

IX. Mesures de sécurité

La Commission considère que le responsable de traitement doit prendre toutes précautions utiles pour préserver la sécurité des informations objet des traitements visés dans la présente délibération, dans le respect des dispositions des articles 17 et 17-1 de la loi n° 1.165, modifiée.

En ce sens, elle rappelle que doivent être mises en place, «des mesures techniques et d’organisation appropriées pour protéger les informations nominatives contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé», et que ces mesures doivent «assurer un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données à protéger».

A ce titre, elle demande notamment que :

- soient mises en place des mesures de contrôle et d’identification des personnes habilitées à avoir accès aux informations, conformément à l’article 30 de l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée ;

- les personnes affectées à l’exploitation du système reçoivent des consignes strictes aux fins de garantir la confidentialité des données traitées ;

- des mesures de sécurité soient appliquées aux supports individuels afin qu’aucune extraction, captation ou copie de la donnée biométrique sur tous autres supports ne puisse être effectuée.

X. Durée de conservation

La Commission rappelle que conformément à l’article 10-1 de la loi n° 1.165, modifiée, les informations collectées dans le cadre des traitements visés à la présente délibération ne peuvent être conservées sous une forme permettant l’identification de la personne concernée que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité desdits traitements.

Ainsi, au regard des fonctionnalités énumérées au point IV de la présente délibération, la Commission estime que :

- la donnée biométrique et le code d’authentification associé doivent être supprimés dès le départ de l’employé de l’entreprise ou organisme ;

- les informations relatives à l’identité de l’employé, à la vie professionnelle et à la gestion du parking ne doivent pas être conservées au delà d’une durée de 5 ans après son départ de l’entreprise ou de l’organisme ;

- les données relatives à l’accès aux locaux et aux informations sur le temps de présence ou d’horodatage ne doivent pas être conservées plus de 3 mois. Elles pourront être conservées 5 ans dans la seule hypothèse où le responsable de traitement exploite ce dernier à des fins de contrôle du temps de travail et pour les employés uniquement ;

- s’agissant des visiteurs, les informations relatives à la donnée biométrique, à l’identité, à la vie professionnelle, et à la gestion du parking ne doivent pas être conservées au-delà d’une durée de 3 mois à compter de la dernière visite.

La Commission considère par ailleurs que les informations communiquées sur supports distincts aux autorités judiciaires et policières peuvent être conservées jusqu’à la fin de la procédure judiciaire.

Après en avoir délibéré :

Rappelle que :

- les traitements automatisés d’informations nominatives, liés à des dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d’accès, la gestion des horaires sur le lieu de travail mis en œuvre par les personnes physiques ou morales de droit privé, sont soumis à l’autorisation de la Commission de Contrôle des Informations Nominatives ;
- seuls les traitements remplissant les conditions fixées par la présente délibération pourront faire l’objet d’une autorisation de mise en œuvre.

Le Président de la Commission
de Contrôle des Informations Nominatives.
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14