Comment mettre en œuvre le système biométrique ?
Une entreprise décide de renforcer la sécurité en introduisant un contrôle biométrique pour l’accès aux bâtiments des employés.
La direction mandate le service de sécurité informatique pour développer un système d’identification biométrique.
L’utilisation de la biométrie peut présenter des risques importants, liés notamment aux possibilités de suivi des individus et d’interconnexion des informations et des fichiers.
La direction des systèmes d’information (DSI) propose deux solutions à la direction générale : soit une technologie basée sur le stockage de gabarit sur un support dont la personne concernée a l’usage exclusif (carte à puce, téléphone mobile, ordinateur portable, etc.) ou soit de recourir à un élément biométrique ne laissant pas de trace, comme le contour de la main.
Pour éviter des discriminations, il est nécessaire de prévoir des alternatives pour les personnes qui ne sont pas en mesure d’utiliser un système biométrique. L’identification de données biométriques doit se faire uniquement en comparant un échantillon prélevé auprès de la personne concernée. Les données biométriques originales doivent être détruites une fois la procédure d’enrôlement effectuée.
Recommandations
L’objectif visé doit être clair, et la mesure la plus adéquate, nécessaire et la moins intrusive pour l’atteindre doit être choisie. Cette mesure doit faire l’objet d’une communication appropriée. L’employeur devrait informer et consulter les employés ou leurs représentants et si possible obtenir leur accord avant d’introduire des systèmes automatisés pour la collecte et le traitement des données personnelles
Principes de base
LIPAD 38 et 42 ; LPD 4; 12 et 13 ; LTr 6 ; OLT3 26 ; CO 328 et 328b
Protection de la personnalité, protection des travailleurs, principes de licéité (légalité), bonne foi et de la proportionnalité: la mesure doit être adéquate, nécessaire et le moins intrusif possible.
Ressources
Voir le guide du PFPDT: