CNIL, biométrie : accès par contour de la main aux lieux de travail. Pointeuse et badgeuse ou gestion du temps, par la biométrie
CNIL Informations
Informations générales

Formation CNIL
CNIL technologies
Biométrie Main

Biométrie empreinte

Biométrie veineuse
CNIL finalités
Biométrie contrôle d'accès

Biométrie gestion du temps

Biométrie restauration sur les lieux de travail

Biométrie contrôle d’accès des visiteurs

Biométrie cantine scolaire

Biométrie ordinateur
Biométrie : accès par contour de la main aux lieux de travail (Autorisation unique n° 7)

Résumé

L’autorisation unique n° 7 concerne les dispositifs biométriques utilisant la technologie de la reconnaissance du contour de la main pour des systèmes de contrôle d’accès, de gestion d’horaires, de restauration sur les lieux de travail ou de contrôle d’accès des visiteurs.

Les données enregistrées sont limitativement énumérées par l’autorisation unique. Seul le gabarit du contour de la main peut être enregistré. Les destinataires de ces données sont également limitativement fixés, en fonction des finalités poursuivies par le traitement. Les durées de conservation sont également définies de façon très précises, et ne peuvent en tous cas excéder 5 ans (et 3 mois s’agissant du déplacement des personnes, de la restauration et des visiteurs).

Les représentants du personnel doivent être consultés préalablement à la mise en œuvre de tels dispositifs et les employés doivent être individuellement informés par la diffusion d’une note explicative.

Responsable du traitement

  • Tout organisme privé (exception : établissement accueillant des mineurs) ;
  • organisme public, sauf l'Etat et les établissements accueillant des mineurs.

Objectif(s) poursuivi(s) [Finalité(s)]

  • Le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de l'organisme faisant l'objet d'une restriction de circulation ; 
  • la gestion des horaires et des temps de présence ; 
  • le contrôle de l'accès au restaurant d'entreprise ou administratif et la gestion de la restauration ainsi que la mise en place d'un système de paiement associé ;
  • le contrôle d'accès des visiteurs ; 
  • lorsque la finalité poursuivie est le contrôle des horaires des employés, le dispositif de reconnaissance du contour de la main peut être interconnecté avec une application de gestion des horaires et des temps de présence ;
  • lorsque la finalité poursuivie est le contrôle de l'accès au restaurant d'entreprise ou administratif, le dispositif de reconnaissance du contour de la main peut être interconnecté avec une application de gestion de la restauration ainsi qu'avec un système de paiement associé.

Utilisation(s) exclue(s)

Traitement de données concernant des mineurs au sein d'un établissement accueillant.

Données concernées

  • Identité : nom, prénom, photographie, numéro d’authentification et gabarit du contour de la main, numéro de matricule interne, corps ou service d’appartenance, grade ;
  • temps de présence : plages horaires autorisées, cumul des horaires, congés, autorisations d’absences, heures supplémentaires, jours de réduction du temps de travail, décharge d’activité de service et autres absences (motifs, droits et décomptes) ; 
  • déplacement des personnes : porte utilisée, zones d’accès autorisées, date et heure d’entrée et de sortie ; 
  • en cas d’accès à un parking : numéro d’immatriculation du véhicule, numéro de place de stationnement ;
  • en cas de gestion de la restauration : prix des consommations et moyen de paiement, part patronale ou de l’administration, solde, date du repas et type de consommation (sous la forme exclusive : “hors d’oeuvres”, “plat”, “dessert”, “boisson”).

S’agissant des visiteurs, outre les catégories de données relatives à l’identité et au déplacement des personnes, l’indication de la société d’appartenance et du nom de l’employé accueillant le visiteur peut être traitée, les éléments techniques pris en compte doivent reposer exclusivement sur la géométrie de la main, seul le gabarit du contour de la main, résultat du traitement des mesures par un algorithme, est enregistré dans une base de données où il peut être associé à un numéro d’authentification de la personne.

Données exclues

  • Aucune photographie de la main des personnes concernées n’est conservée ;  
  • les éléments pris en compte reposent exclusivement sur la géométrie de la main.

Durée de conservation

A l'exception du gabarit du contour de la main et du code d'authentification associé qui doivent être supprimés dès le départ de l'employé, les catégories de données relatives à l'identité, à la vie professionnelle et à la gestion du parking peuvent, au maximum, être conservés 5 ans après le départ de l'employé. Lorsque le dispositif a exclusivement pour objet de contrôler l'accès à certaines zones des locaux, la durée de conservation du gabarit du contour de la main et du code d'authentification associé est égale au temps pendant lequel la personne concernée est habilitée à pénétrer dans lesdites zones. Les éléments relatifs aux déplacements des personnes ne doivent pas être conservés plus de 3 mois. Toutefois, les catégories de données relatives aux déplacements des personnes et aux temps de présence des employés peuvent être conservées pendant 5 ans lorsque le traitement a pour finalité le contrôle du temps de travail. La conservation des données relatives aux motifs d'absence est limitée à une durée de 5 ans sauf dispositions législatives contraires. En cas de paiement direct ou de pré-paiement des repas, les données monétiques ne peuvent être conservées plus de 3 mois. En cas de paiement par retenue sur le salaire, la durée de conservation est de 5 ans. S'agissant des visiteurs, les catégories de données relatives à l'identité, à la vie professionnelle et à la gestion du parking peuvent, au maximum, être conservés 3 mois à compter de la date de la dernière visite.

Destinataires des données

  • Les personnes habilitées du service du personnel peuvent avoir conaissance des données suivantes : identité, vie professionnelle, temps de présence, déplacement des personnes et informations en relation avec la gestion du parking.
  • Les personnes habilitées du service gérant la paie ou les traitements peuvent avoir connaissance des données suivantes : identité (à l’exception du gabarit du contour de la main et du code d’authentification) et temps de présence et vie professionnelle.
  • Les personnes habilitées du service gérant la sécurité des locaux données peuvent avoir connaissance des données suivantes : identité, plages horaires autorisées, déplacement des personnes, vie professionnelle et informations en relation avec la gestion du parking ou des locaux.
  • Les personnes habilitées du service ou de l’organisme gérant le restaurant d’entreprise ou administratif peuvent avoir connaissance des données suivantes : identité (à l’exception du gabarit du contour l’organisme gérant le restaurant d’entreprise de la main et du code d’authentification) et informations en relation avec la gestion de la restauration.

Lorsqu’un accord sur le temps de travail le prévoit et dans la limite des dispositions légales et conventionnelles applicables, certains employés protégés peuvent être destinataires des informations relatives aux heures d’arrivée et de départ des personnes.

Les personnes habilitées du service du personnel ou du service gérant la sécurité ne peuvent avoir accès au gabarit du contour de la main que de façon temporaire et pour les stricts besoins de son inscription dans la base de données ou de sa suppression.

Informations des personnes (droits)

Lors de la collecte des données, le responsable du traitement doit informer les personnes :

de son identité, de la finalité du traitement, du caractère obligatoire ou facultatif des informations qu’il collecte, des destinataires de ces informations, de l’existence de droits pour les personnes fichées et du service auprès duquel les faire valoir, des transmissions envisagées.

Les mentions d’information doivent figurer sur les formulaires utilisés pour collecter les données (cf. article 32 de la loi informatique et libertés). 

Information et consultation des instances représentatives du personnel Information préalable des employés effectuée par remise d'une notice explicative.

Sécurité

Toutes mesures de sécurité utile pour préserver la sécurité et la confidentialité des données, accès individuels par mot identifiant et mot de passe régulièrement renouvelés ou par tout autre moyen d'authentification.

Transfert hors UE

NON

Titre complet

Délibération n°2006-101 du 27/04/2006 portant autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail.


En savoir plus ...
© 2009 ABIOVA. quiestla Tous droits réservés. Tél : +33 (0)1.69.49.61.00 | Mentions légales | Contact | Plan du site | pointeuse | logiciel gestion temps| badgeuse|
|biométrique |logiciel pointeuse |