La CNIL et l’encadrement juridique des contrôles d’accès
La CNIL tient un rôle important dans la régularisation de l’utilisation des systèmes de contrôle d’accès. Toujours dans un esprit éthique, elle apporte un cadre juridique permettant aux utilisateurs de voir leurs libertés respectées et aux organisations de mettre en place des dispositifs adaptés.
Dans cet esprit, la CNIL demande notamment la différenciation des bases de données des systèmes de contrôle d’accès. Cela permet de séparer contrôle d’accès physique aux zones « sensibles » et contrôle de présence des employés dans l’entreprise.
Fortement ancrée dans une démarche éthique, la CNIL impose que les organisations souhaitant mettre en place des contrôles d’accès déposent des demandes d’autorisation, notamment pour les systèmes biométriques.
La normalisation de la biométrie
La CNIL encadre fortement l’usage de la biométrie dans les organisations privées comme publiques. En ce qui concerne les empreintes digitales, elle les limite à un usage exceptionnel utilisant un stockage sur un terminal de lecture-comparaison ou sur un serveur et impose aux organisations d’informer les usagers (les salariés principalement) sur leurs droits. Elle souhaite que les utilisateurs adoptent une démarche éthique sur l’informatique et les libertés.
L’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (CEI) ont rédigé un rapport technique sur les enjeux sociétaux, culturels et éthiques de l’utilisation de la biométrie dans les systèmes de sécurité. Celui-ci vise à offrir un appui aux entreprises soucieuses de développer et/ou mettre en application un dispositif biométrique qui soit en accord avec le cadre juridictionnel mais aussi éthique et qui prenne en compte les problématiques de santé et de sécurité.
Les exigences de la détection intrusion
C’est la règle APSAD R81 qui précise les exigences techniques minimales pour garantir un système de détection automatique efficace. Sa dernière mise à jour, en novembre 2010, tient bien sûr compte des dernières normes mais également des évolutions sur les usages de ce type de système comme la vidéosurveillance par exemple.
La règle APSAD R81 établit une méthodologie qui suit quatre étapes : analyse de risque pour préciser le niveau de surveillance et les solutions techniques à mettre en place, conception, réalisation et maintenance de l’installation. Cette méthode permet de garantir une installation adaptée à chaque besoin.
Le cadre juridique des systèmes de vidéosurveillance
Le cadre juridique français de la vidéosurveillance
- la loi n°95-73 du 21 janvier 1995 relative à la sécurité (modifiée par la loi du 23 janvier 2006),
- son décret d'application n°96-926 du 17 octobre 1996 (modifié par le décret du 28 juillet 2006),
- une circulaire du ministère de l'intérieur du 22 octobre 1996,
- l’arrêté du 26 septembre 2006 et celui du 3 août 2007 définissent les prescriptions techniques des systèmes de vidéosurveillance.
La loi de 1995 rappelle que "les enregistrements visuels de vidéosurveillance (…) qui sont utilisés dans des traitements automatisés ou contenus dans des fichiers structurés selon des critères permettant d'identifier, directement ou indirectement, des personnes physiques, (…) sont soumis à la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés". Le décret d'application de 1996 précise qu’une autorisation doit être demandée à la CNIL lorsque ces enregistrements sont utilisés pour la constitution d’un fichier nominatif. La vidéosurveillance est donc régulée comme tout traitement de données à caractère personnel.
Les deux principes fondamentaux du dispositif de vidéosurveillance
La transparence
La loi informatique et libertés impose d’informer les employés de la présence (actuelle ou future) d'un système de vidéosurveillance sur leur lieu de travail. Le Code du travail rejoint d’ailleurs ce principe : « aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat » (art. L.121-8).
La proportionnalité
Selon la CNIL, seules les personnes habilitées à visualiser les images ont le droit de le faire, dans le cadre de leurs fonctions (le responsable de la sécurité par exemple). De plus, celles-ci ne peuvent être conservées un mois au maximum. Cette règle est appliquée en vertu du Code du travail énonçant que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché » (art. L.120-2).
Le non-respect de ces principes expose à des peines de prison et d'amende.
