Logo-Kelio
 

Contrôle d'accès et CNIL

Réglementation concernant la mise en place d'une gestion des contrôles d'accès aux locaux

La mise en place d’une solution de gestion des accès suppose la protection des données personnelles des collaborateurs et visiteurs qui seront soumis au contrôle d’accès. En France, la Commission Nationale de l'Informatique et des Libertés (CNIL) veille au suivi de la réglementation européenne en vigueur.

CONTRÔLE D'ACCÈS TÉMOIGNAGES CLIENTS

CNIL et contrôle d'accès aux locaux

Quelles sont les formalités à déclarer à la CNIL en matière de contrôle d'accès ?

Depuis l’entrée en vigueur du Règlement pour la Protection des Données Personnelles (RGPD) le 25 mai 2018, la mise en place d’un système de contrôle d’accès ne requiert plus de déclaration spécifique obligatoire auprès de la CNIL.

Néanmoins, les entreprises et organisations demeurent responsables de la protection des données personnelles de leurs collaborateurs, en application du RGPD. Elles doivent s’engager dans un processus de gestion et de protection, documenté, des données personnelles qu’elles traitent et qui peuvent concerner aussi bien leurs collaborateurs, que les visiteurs ou prestataires amenés à utiliser le système de contrôle d’accès

Des déclarations auprès de la CNIL restent obligatoires dans les cas suivants :

  • Déclaration de votre analyse de risque (PIA/Analyse d’impact sur la Protection des Données) si elle présente un risque élevé (Formulaire CNIL)
  • Déclaration de votre DPO (Data Protection Officer) (Formulaire CNIL)
  • Justification pour traitement de données sensibles (exemple : biométrie)
  • Notification en cas de violation de données à caractère personnel (Formulaire CNIL)
  • Transfert de données personnelles hors pays dits « de confiance » (CNIL carte du monde, CNIL guide de transfert).

Contrôle d'accès et CNIL

Utilisation de la biométrie dans les systèmes de contrôle d’accès

Peut-on utiliser la biométrie en France pour contrôler les accès ?

Le contrôle par biométrie est autorisé en France dans le cadre d’un usage en contrôle d’accès, s’il remplit les conditions suivantes :

  • Il ne sert qu’à contrôler des accès à des zones restreintes ou appareils et applications informatiques précis
  • Il ne sert pas à contrôler les horaires des employés
  • Il est considéré comme un traitement de données à haut risque : analyse de risque (PIA / AIPD) obligatoire
  • Les instances représentatives du personnel sont informées et consultées
  • Les employés sont informés par une notice explicative
  • Le recours à la biométrie est justifié. Cette justification a été validée par la CNIL.

Depuis le 25 mai 2018, les anciennes autorisations n’ont plus lieu d’être. Elles sont remplacées par la démarche RGPD. Pour élaborer votre PIA dédié à la biométrie, vous pouvez prendre modèle sur les autorisations AU-052 et AU-053.


Pour mémoire avant le 25 mai 2018, la démarche de justification auprès de la CNIL passait par une demande d’autorisation préalable. Historiquement les déclarations :

  • AU-007 (contrôle d’accès par contour de main)
  • AU-008 (empreinte digitale sur le lieu de travail)
  • AU-019 (réseau veineux sur le lieu de travail)
  • AU-027 (contrôle d’accès par empreinte digitale).

ont été remplacées le 30 juin 2016 par les autorisations suivantes :

  • AU-052 , si la donnée d’empreinte (gabarit, donnée dactylographique) est conservée par la personne, comme par exemple sur son badge
  • AU-053, si la conservation de la donnée d’empreinte est centralisée.

Pour plus d’informations, rendez-vous sur le portail de la CNIL dédié à la biométrie.

conformité de votre solution de contrôle d'accès à la CNIL
 

IRP et contrôle d'accès

Qui informer lors de la mise en place d'un dispositif de contrôle des accès ?

La consultation des Institutions Représentatives du Personnel (IRP) est requise avant la mise en place d’un système de gestion du contrôle d'accès.

Extrait de l'Article L2312-38 : le comité d'entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés.

Retrouvez tous les articles de loi en lien avec la consultation des IRP pour la mise en place d'un système de contrôle d'accès.

Pour assurer votre conformité à la règlementation de la CNIL vous devez également informer tous vos salariés des :

  • Finalités poursuivies du dispositif
  • Destinataires et du traitements qu'ils opèrent sur les données collectées
  • De leurs droits d’accès et de rectification.

NOS CLIENTS NOUS FONT CONFIANCE, POURQUOI PAS VOUS ?

Kelio - depuis 35 ans

35 ans d'expertise

Présent à l'international

Présent à l'international

Profitez de l'installation Kelio

Installation

Interlocuteur dédié

Interlocuteur dédié

proximité et disponibilité

Proximité et disponibilité

Certifié ISO 9001 & 14001

Certifié ISO