Pourquoi choisir une solution SIRH couplée à un contrôle d'accès ? L’entreprise familiale Ernest Soulard est spécialiste du canard et producteur de foie gras depuis 1936. Située au cœur de la Vendée, région considérée comme le fief de l’élevage de canards, l’entreprise compte aujourd’hui 250...

ALL Circuits

Comment fiabiliser sa gestion des temps et ses processus RH avec un logiciel SIRH ? Le groupe ALL Circuits est un des leaders mondiaux de l’EMS (electronic manufacturing services) et spécialiste de la sous-traitance électronique. Il propose des services sur mesure de design, d’industrialisation, de...

Mitsuba

Comment gérer le suivi des temps des employés avec un seul outil à l'international ? La société Mitsuba est spécialisée dans la fabrication des petits moteurs électriques présents dans les voitures et motos. Elle intervient par exemple dans la réalisation des moteurs pour les toits-ouvrants, les...

Contrôle d'accès et CNIL

Réglementation concernant la mise en place d'une gestion des contrôles d'accès aux locaux

La mise en place d’une solution de gestion des accès suppose la protection des données personnelles des collaborateurs et visiteurs qui seront soumis au contrôle d’accès. En France, la Commission Nationale de l'Informatique et des Libertés (CNIL) veille au suivi de la réglementation européenne en vigueur.

CONTRÔLE D'ACCÈS TÉMOIGNAGES CLIENTS

CNIL et contrôle d'accès aux locaux

Quelles sont les formalités à déclarer à la CNIL en matière de contrôle d'accès ?

Depuis l’entrée en vigueur du Règlement pour la Protection des Données Personnelles (RGPD) le 25 mai 2018, la mise en place d’un système de contrôle d’accès ne requiert plus de déclaration spécifique obligatoire auprès de la CNIL.

Néanmoins, les entreprises et organisations demeurent responsables de la protection des données personnelles de leurs collaborateurs, en application du RGPD. Elles doivent s’engager dans un processus de gestion et de protection, documenté, des données personnelles qu’elles traitent et qui peuvent concerner aussi bien leurs collaborateurs, que les visiteurs ou prestataires amenés à utiliser le système de contrôle d’accès

Des déclarations auprès de la CNIL restent obligatoires dans les cas suivants :

Déclaration de votre analyse de risque (PIA/Analyse d’impact sur la Protection des Données) si elle présente un risque élevé (Formulaire CNIL)
Déclaration de votre DPO (Data Protection Officer) (Formulaire CNIL)
Justification pour traitement de données sensibles (exemple : biométrie)
Notification en cas de violation de données à caractère personnel (Formulaire CNIL)
Transfert de données personnelles hors pays dits « de confiance » (CNIL carte du monde, CNIL guide de transfert).

Utilisation de la biométrie dans les systèmes de contrôle d’accès

Peut-on utiliser la biométrie en France pour contrôler les accès ?

Le contrôle par biométrie est autorisé en France dans le cadre d’un usage en contrôle d’accès, s’il remplit les conditions suivantes :

Il ne sert qu’à contrôler des accès à des zones restreintes ou appareils et applications informatiques précis
Il ne sert pas à contrôler les horaires des employés
Il est considéré comme un traitement de données à haut risque : analyse de risque (PIA / AIPD) obligatoire
Les instances représentatives du personnel sont informées et consultées
Les employés sont informés par une notice explicative
Le recours à la biométrie est justifié. Cette justification a été validée par la CNIL.

Depuis le 25 mai 2018, les anciennes autorisations n’ont plus lieu d’être. Elles sont remplacées par la démarche RGPD. Pour élaborer votre PIA dédié à la biométrie, vous pouvez prendre modèle sur les autorisations AU-052 et AU-053.

Pour mémoire avant le 25 mai 2018, la démarche de justification auprès de la CNIL passait par une demande d’autorisation préalable. Historiquement les déclarations :

AU-007 (contrôle d’accès par contour de main)
AU-008 (empreinte digitale sur le lieu de travail)
AU-019 (réseau veineux sur le lieu de travail)
AU-027 (contrôle d’accès par empreinte digitale).

ont été remplacées le 30 juin 2016 par les autorisations suivantes :

AU-052 , si la donnée d’empreinte (gabarit, donnée dactylographique) est conservée par la personne, comme par exemple sur son badge
AU-053, si la conservation de la donnée d’empreinte est centralisée.

Pour plus d’informations, rendez-vous sur le portail de la CNIL dédié à la biométrie.

conformité de votre solution de contrôle d'accès à la CNIL

IRP et contrôle d'accès

Qui informer lors de la mise en place d'un dispositif de contrôle des accès ?

La consultation des Institutions Représentatives du Personnel (IRP) est requise avant la mise en place d’un système de gestion du contrôle d'accès.

Extrait de l'Article L2312-38 : le comité d'entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés.

Retrouvez tous les articles de loi en lien avec la consultation des IRP pour la mise en place d'un système de contrôle d'accès.

Pour assurer votre conformité à la règlementation de la CNIL vous devez également informer tous vos salariés des :