Union Locale CGT Paris 11

D 20 mai 2010     H 07:25     A ulcgtparis11     RSS 2.0    


La CNIL ordonne l’interruption d’un dispositif biométrique illégal

Le 18 mars 2010, la CNIL a pour la première fois ordonné l’interruption d’un système biométrique mis en œuvre par une société spécialisée dans le commerce de gros d’habillement militaire. Ce système de contrôle d’accès, reposant sur la reconnaissance des empreintes digitales, avait été refusé en 2007 en l’absence d’impératif fort de sécurité. Constatant, lors d’un contrôle sur place, la mise en œuvre illicite du dispositif, la CNIL a ordonné son interruption.

La formation contentieuse de la CNIL a ordonné le 18 mars 2010 l’interruption pour une durée de trois mois – durée maximale prévue par la loi - d’un dispositif biométrique de contrôle d’accès, mis en œuvre par une société de commerce de gros d’habillement militaire. Pendant cette période, la société doit se mettre en conformité avec les dispositions de la loi « informatique et libertés ».

Lors d’un contrôle sur place effectué en février dernier, la CNIL a constaté la mise en œuvre d’un dispositif de contrôle d’accès reposant sur la conservation d’empreintes digitales dans une base centrale. Or, par une décision du 25 avril 2007, la CNIL avait expressément refusé d’accorder à la société l’autorisation de mettre en œuvre un tel dispositif, en l’absence d’un fort impératif de sécurité. Les contrôles sur place ont également constaté que les salariés concernés n’étaient informés ni des caractéristiques du traitement, ni de leur droit d’accès, et que la société conservait les données de passage de ses salariés sans limitation de durée.

Dans ses observations écrites et lors de la séance du 18 mars 2010, la société n’a que partiellement répondu aux manquements constatés par la CNIL. Il est, en particulier, apparu que le dispositif en cause était toujours opérationnel.

Cette interruption constitue l’occasion pour la Commission de rappeler le caractère contraignant de ses refus d’autorisation. L’objet du régime d’autorisation étant précisément de soumettre les fichiers sensibles ou à risque à l’appréciation de la CNIL, un responsable de traitement ne saurait outrepasser son refus d’autorisation sans s’exposer à une procédure de sanction.

Délibération de la CNIL 2010-072 du 18 mars 2010

Rechercher