icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2011-33 du 11 avril 2011 portant recommandation sur les dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale, exclusivement enregistrée sur un support individuel détenu par la personne concernée, ayant pour finalité le contrôle d’accès à des zones limitativement identifiées sur le lieu de travail, mis en œuvre par les personnes physiques ou morales de droit privé.

  • N° journal 8013
  • Date de publication 22/04/2011
  • Qualité 97.25%
  • N° de page 739
Vu la Constitution ;

Vu la Convention de Sauvegarde des Droits de l’Homme et des Libertés Fondamentales du Conseil de l’Europe ;

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la Recommandation du Conseil de l’Europe n° R (89) 2 du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;

Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;

Vu la loi n° 459 du 19 juillet 1947 portant modification du statut des délégués du personnel ;

Vu la loi n° 957 du 18 juillet 1974 relative à l’exercice du droit syndical dans les entreprises ;

Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;

Vu le rapport de la Commission en date du 11 avril 2011 ;

La Commission de Contrôle des Informations Nominatives

Conformément à l’article 1er de la loi n° 1.165 du 23 décembre 1993, modifiée, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, autorité administrative indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.

Par la présente délibération, la Commission souhaite préciser les grands principes de protection des informations nominatives applicables aux dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale, dispositifs utilisés à des fins de contrôle d’identité et/ou de surveillance relevant des dispositions de l’article 11-1 de la loi n° 1.165, précitée, et ce afin d’orienter les demandeurs d’autorisation dans leurs démarches auprès d’elle.

I. Dispositions générales

Dans un contexte où se mêlent technologie et sécurité, la biométrie tend à s’imposer dans un certain nombre de pays comme une méthode privilégiée d’identification tant pour les entreprises que pour les organismes de droit privé.

Or, la Commission rappelle que la donnée biométrique n’est pas une donnée d’identité comme les autres. Elle n’est pas attribuée par un tiers ou choisie par la personne. Elle provient de son corps lui-même et le désigne de façon définitive. Le mauvais usage ou le détournement d’une telle donnée peut alors avoir des conséquences graves. C’est pour cela que le recours à la biométrie doit être strictement encadré d’autant que l’empreinte digitale est une donnée biométrique particulièrement «traçante» en ce qu’elle permet d’identifier aisément une personne à son insu.

Ainsi, les traitements exploitant ce genre de données dans le contexte précité sont soumis à l’autorisation de la Commission en vertu de l’article 11-1 de la loi n° 1.165, modifiée, applicable aux acteurs du secteur privé, à savoir :

- les personnes physiques ou morales de droit privé, visées à l’article 6 de la loi n° 1.165, modifiée ;

- les organismes de droit privé investis d’une mission d’intérêt général ou concessionnaires d’un service public portés sur une liste établie par arrêté ministériel, telle que mentionnée à l’article 7 de ladite loi.

Les personnes concernées par ces traitements sont les employés dûment habilités à pénétrer dans des zones limitativement identifiées de l’entreprise ou de l’organisme faisant l’objet d’une restriction de circulation, mais également les tiers autorisés qui y ont accès à titre ponctuel et à une fin déterminée.

Sont exclusivement concernés par la présente recommandation les dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale, exclusivement enregistrée sur un support individuel détenu par la personne concernée, et dont la donnée biométrique est le gabarit de l’empreinte digitale.

Ne sont donc pas concernés par la présente recommandation les dispositifs :

- enregistrant une image ou une photographie de l’empreinte digitale.
- reposant sur la reconnaissance de l’empreinte digitale avec stockage dans une base de données centralisée ou sur un terminal de lecture-comparaison.
II. Licéité des dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale enregistrée sur un support individuel détenu par la personne concernée

Aux termes de l’article 10-1 la loi n° 1.165 du 23 décembre 1993, susvisée, «les informations nominatives doivent être collectées et traitées loyalement et licitement […] pour une finalité déterminée, explicite et légitime, et ne pas être traitées ultérieurement de manière incompatible avec cette finalité».

A ce titre, la Commission rappelle les dispositions de l’article 2 de la Recommandation n° R(89) du Conseil de l’Europe du 19 janvier 1989 sur la protection des données à caractère personnel utilisées à des fins
d’emploi, aux termes desquels «le respect de la vie privée et de la dignité humaine de l’employé, en particulier la possibilité de relations sociales et individuelles sur le lieu de travail, devrait être préservé lors de la collecte et de l’utilisation de données à caractère personnel à des fins d’emploi».

Par ailleurs, elle rappelle également que l’article 6.1 de ladite Recommandation dispose que «les données à caractère personnel collectées à des fins d’emploi ne devraient être utilisées par l’employeur qu’à de telles fins».

En conséquence, la Commission appelle l’attention des entreprises et organismes concernés sur le fait que les informations nominatives des employés et des tiers autorisés, exploitées dans le cadre de traitements qui font appel aux dispositifs concernés par la présente délibération, ne sauraient être détournées de la finalité pour laquelle elles ont initialement été collectées.

En outre, ces dispositifs ne sauraient donner lieu à des pratiques abusives portant atteinte aux libertés et droits fondamentaux des employés et des tiers autorisés, mais également aux droits conférés par la loi aux délégués du personnel et aux délégués syndicaux.

C’est pourquoi, conformément aux dispositions de l’article 11-1 de la loi n° 1.165, modifiée, le responsable de traitement devra apporter les éléments permettant à la Commission de s’assurer que le traitement est «nécessaire à la poursuite d’un objectif légitime essentiel», et que les droits et libertés des personnes seront protégés.

III. Justification des dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale enregistrée sur un support individuel détenu par la personne concernée

En application de l’article 10-2 de la loi n° 1.165, modifiée, la Commission considère que les traitements visés dans le cadre de la présente délibération peuvent être justifiés lorsqu’ils sont mis en œuvre aux fins de :

- répondre à une obligation légale à laquelle est soumis le responsable de traitement ou son représentant ; ou,

- répondre à un motif d’intérêt public, ou ;

- permettre la réalisation d’un intérêt légitime poursuivi par le responsable de traitement ou son représentant ou par son destinataire, à la condition de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée, ou ;

- permettre l’exécution d’un contrat ou de mesures précontractuelles avec la personne concernée.

La Commission appelle l’attention des responsables de traitement sur le fait que ces justifications devront être spécialement motivées.
Enfin, elle rappelle que le choix du recours à de tels dispositifs ne saurait être guidé exclusivement par des considérations de confort ou de convenance, mais par un enjeu spécifique ayant trait à l’intégrité physique des personnes ou à l’intégrité de biens et installations dont la dégradation aurait des conséquences graves et irréversibles par delà l’intérêt propre de ladite entreprise ou dudit organisme.

IV. Fonctionnalités du traitement

La Commission considère que la mise en œuvre de dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale, enregistrée sur un support individuel détenu par la personne concernée, ne peut avoir d’autre fonctionnalité que de contrôler l’accès à certaines zones limitativement identifiées au sein de l’entreprise ou de l’organisme comme faisant l’objet d’une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent.

Eu égard au fait que le dispositif reposant sur la reconnaissance de l’empreinte digitale présente plus de risques pour les individus que celui relatif au contour de la main ou au réseau veineux des doigts de la main, la Commission exclut l’utilisation de cette donnée à des fins de gestion des horaires et des temps de présence des employés, ou à des fins de contrôle d’accès aux entrées et sorties de l’entreprise ou de l’organisme.

Elle rappelle par ailleurs que ces dispositifs ne sauraient être détournés de leur finalité, et notamment qu’ils ne peuvent en aucun cas conduire à un contrôle permanent et inopportun des employés.

Enfin, elle estime que les contrôles d’accès aux zones dont s’agit ne doivent pas entraver la liberté d’aller et de venir des salariés protégés dans l’exercice de leurs missions.

V. Information de la personne concernée

La Commission rappelle que l’existence de tout traitement d’informations nominatives doit être portée à la connaissance des personnes concernées, conformément à l’article 14 de la loi n° 1.165, modifiée.

Aux termes de cet article, cette information doit porter sur :

- l’identité du responsable de traitement et le cas échéant, celle de son représentant à Monaco ;

- la finalité du traitement ;

- l’identité des destinataires ou des catégories de destinataires des informations ;

- l’existence d’un droit d’opposition, d’accès et de rectification à l’égard des informations les concernant.

La Commission estime donc que les personnes concernées, à savoir les employés et les tiers autorisés, doivent être informées de l’ensemble de ces mentions par tous moyens qu’il appartiendra au responsable de traitement de déterminer, comme par exemple par voie d’affichage ou par la communication d’une note interne à l’entreprise ou à l’organisme. Concernant les tiers autorisés, cette information pourrait par exemple prendre la forme d’une mention portée sur le formulaire de collecte des informations personnelles qu’ils remplissent, le cas échéant.

VI. Catégories d’informations traitées

Conformément aux principes d’adéquation et de proportionnalité des informations nominatives collectées, posés par l’article 10-1 de la loi n° 1.165, modifiée, la Commission estime que seules les catégories d’informations suivantes peuvent être traitées :
- Donnée biométrique : gabarit de l’empreinte digitale ;

- Informations relatives à l’identité de l’employé : nom, prénoms, photographie ;

- Informations relatives à la vie professionnelle : numéro d’identification interne, numéro de carte, service, fonction ;

- Informations temporelles ou horodatage : date et heure de passage à une zone à accès restreint, plages horaires d’accès autorisées ;

- Accès aux locaux à accès restreint : nom et/ou numéro du point de passage à la zone à accès restreint, zones d’accès autorisées ;

- Tiers autorisé : nom, prénoms, dates et heures de passage à la zone à accès restreint, organisme ou société d’appartenance, identité de l’employé accueillant le tiers autorisé.

VII. Personnes ayant accès aux informations et destinataires

La Commission estime que l’accès aux informations objet des traitements visés par la présente délibération doit être limité aux seules personnes qui peuvent légitimement en avoir connaissance au regard de leurs fonctions ou de leurs missions, ainsi que de la finalité du traitement.

Sur ce point, la Commission rappelle que, conformément aux dispositions de l’article 17-1, alinéa 2, de la loi n° 1.165 précitée, le responsable de traitement doit «déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les stricts besoins de l’accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu’aux informations traitées».

Cette liste devra être tenue à jour et être communiquée à la Commission à première réquisition.

Les personnes spécialement habilitées à avoir accès auxdits traitements sont issues des services ayant compétence pour recevoir certaines catégories d’informations nominatives, à savoir :

- service du personnel / ressources humaines : gabarit de l’empreinte digitale, identité des employés, informations relatives à la vie professionnelle, informations temporelles et d’horodatage, numéro d’identification interne ;

- service gérant la sécurité des locaux : gabarit de l’empreinte digitale, identité des employés, informations relatives aux tiers autorisés, accès aux locaux, informations temporelles et d’horodatage.

Les personnes habilitées énumérées ci-dessus ne peuvent avoir accès au gabarit de l’empreinte digitale qu’aux seules fins d’enregistrer ou de supprimer ladite donnée biométrique et uniquement le temps nécessaire pour procéder à ces opérations.

Enfin, elle estime que les autorités judiciaires et policières peuvent être destinataires des informations nominatives traitées, dans le cadre exclusif des missions qui leur sont légalement conférées, pour la recherche de preuves ou la constatation d’infractions. Dans ce cas, elle rappelle que des mesures de sécurité particulières devront être prises, concernant notamment le support sur lequel ces informations sont transmises, ainsi que la procédure de transfert, conformément aux dispositions du point VIII de la présente délibération.
VIII. Mesures de sécurité

La Commission considère que le responsable de traitement doit prendre toutes précautions utiles pour préserver la sécurité des informations objet des traitements visés dans la présente délibération, dans le respect des dispositions des articles 17 et 17-1 de la loi n° 1.165, modifiée.

En ce sens, elle rappelle que doivent être mises en place, «des mesures techniques et d’organisation appropriées pour protéger les informations nominatives contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisé», et que ces mesures doivent «assurer un niveau de sécurité adéquat au regard des risques présentés par le traitement et de la nature des données à protéger».

A ce titre, elle demande notamment que :

- soient mises en place des mesures de contrôle et d’identification des personnes habilitées à avoir accès aux informations, conformément à l’article 30 de l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, modifiée ;

- les personnes affectées à l’exploitation du système reçoivent des consignes strictes aux fins de garantir la confidentialité des données traitées ;

- les mesures de sécurité appliquées audit support individuel interdisent toute lecture ou captation des informations qui figurent sur celui-ci à l’insu de la personne concernée.

IX. Durée de conservation

La Commission rappelle que conformément à l’article 10-1 de la loi n° 1.165, modifiée, les informations collectées dans le cadre des traitements visés à la présente délibération ne peuvent être conservées sous une forme permettant l’identification de la personne concernée que pendant une durée n’excédant pas celle nécessaire à la réalisation de la finalité desdits traitements.

Ainsi, au regard des fonctionnalités énumérées au point IV de la présente délibération, la Commission estime que :

- les informations relatives à l’identité d’un employé et à sa vie professionnelle ne doivent pas être conservées au delà d’une durée de 5 ans après le départ de l’employé de l’entreprise ou de l’organisme ;

- les informations relatives aux tiers autorisés, ainsi que les informations temporelles ou d’horodatage, et celles concernant les accès, ne doivent pas être conservées au delà d’une durée de 3 mois à compter du dernier passage ;

- le gabarit de l’empreinte biométrique n’est conservé sur le support individuel que le temps durant lequel la personne concernée est habilitée à pénétrer dans les locaux ou les zones limitativement identifiées de l’entreprise ou de l’organisme faisant l’objet d’une restriction de circulation.

La Commission considère par ailleurs que les informations communiquées sur supports distincts aux autorités judiciaires et policières peuvent être conservées jusqu’à la fin de la procédure judiciaire.

Après en avoir délibéré :

Rappelle que :

- les traitements automatisés d’informations nominatives, liés à des dispositifs biométriques reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée, ayant pour finalité le contrôle d’accès à des zones limitativement identifiées sur le lieu de travail, mis en œuvre par les personnes physiques ou morales de droit privé ;

- seuls les traitements remplissant les conditions fixées par la présente délibération pourront faire l’objet d’une autorisation de mise en œuvre.

Le Président de la Commission
de Contrôle des Informations Nominatives.
Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14