Biometrie tertiaire: empreinte digitale et reconnaissance faciale
Le RGPD article 9 et le règlement type CNIL de 2019 limitent la biométrie à 3 cas légitimes
La biométrie est un outil de sûreté pour zones critiques, pas un contrôle d’accès tertiaire. Le RGPD article 9 et le règlement type CNIL délibération n°2019-001 du 10 janvier 2019 limitent son usage à trois cas légitimes (data center, salle des marchés, R&D sous IGI 1300): une minorité des projets contrôle d’accès livrés par Kytom intègrent un volet biométrique, toujours sur 1 à 3 portes maximum. Empreinte digitale et reconnaissance faciale concentrent les contraintes juridiques les plus exigeantes du contrôle d’accès tertiaire, avec des sanctions CNIL de 20 000 à 200 000 € pour généralisation abusive, documentées dans les délibérations publiques accessibles sur cnil.fr. Cet article cadre les conditions juridiques d’autorisation, la méthode Kytom en 5 étapes sur 12 à 16 semaines, le comparatif empreinte sur badge versus facial 3D, et les obligations post-livraison qui courent pendant toute la durée du dispositif.
Le RGPD (règlement UE 2016/679, article 9-1) classe les données biométriques aux fins d’identification unique parmi les données sensibles, interdites par principe sauf exception strictement encadrée. Le règlement type CNIL biométrie sur les lieux de travail, délibération n°2019-001 publiée au Journal officiel le 28 mars 2019, impose trois conditions cumulatives:
- justification d’un contexte spécifique (zone à haute sécurité documentée),
- AIPD (Analyse d’Impact Protection des Données) documentée selon la méthodologie CNIL publiée en 2018 (guide AIPD CNIL, édition février 2018),
- privilégiation des dispositifs sans stockage centralisé (template sur support individuel détenu par le salarié).
Le règlement type cite trois cas légitimes: protection de personnes (laboratoires P3-P4 selon classification INRS ND 2105), protection de biens de haute valeur (coffres, salles des marchés), protection d’informations stratégiques (R&D sous secret défense au sens de l’IGI 1300, données de santé centralisées). Le contrôle d’accès classique par badge RFID 13,56 MHz Mifare DESFire EV2 couvre la grande majorité des besoins tertiaires sans aucune problématique RGPD article 9. Le délai d’instruction CNIL en cas de saisine préalable peut atteindre plusieurs mois, à intégrer dans le planning projet.
Pour la DSI: la biométrie n’est pas une brique IAM. Contrairement à un usage répandu chez certains intégrateurs sûreté, la biométrie ne remplace pas un annuaire d’identité ni une politique IAM. Sur les projets que nous livrons, la biométrie reste un facteur d’authentification physique sur zone critique, qui s’ajoute à la chaîne badge + AD/LDAP sans jamais s’y substituer. La profession sous-estime le coût d’intégration SI: interface OSDP v2 vers le SCADA sûreté, journalisation SIEM (RGPD article 30), procédure de révocation lors du départ collaborateur, articulation avec la PSSI. Sur un siège tertiaire standard sans actif sensible nommément identifié, le surcoût d’investissement biométrique, de plusieurs milliers d’euros par porte, ne se justifie pas face à un badge chiffré DESFire EV2 dont le coût unitaire reste nettement inférieur, et le retour sur investissement court sur plusieurs années. Notre recommandation par défaut reste le badge chiffré: la biométrie ne se discute qu’à partir d’un actif spécifique nommément identifié.
La méthode Kytom en 5 étapes déploie la biométrie en 12 à 16 semaines
Le déploiement biométrique conforme s’organise en cinq étapes séquentielles, sans raccourci possible:
- Qualification du besoin avec le DPO et la direction sûreté: cartographie des zones, inventaire des risques industriels et financiers, justification écrite de la nécessité (semaine 1-2).
- AIPD rédigée selon la méthodologie CNIL guide février 2018, intégrant les 9 critères du G29 (lignes directrices WP248 du 4 avril 2017 endossées par le CEPD) et la consultation des représentants du personnel via le CSE avec délai légal d’1 mois minimum (Code du travail article L.2312-15) (semaine 3-7).
- Choix technologique: empreinte digitale avec template sur badge individuel (architecture décentralisée privilégiée par le règlement type CNIL 2019), ou reconnaissance faciale 3D infrarouge sur 1 à 2 portes (semaine 8).
- Intégration au système de contrôle d’accès existant via protocole OSDP v2 chiffré AES-128 (spécification SIA OSDP v2.2), avec mode dégradé badge + code obligatoire en cas de défaillance lecteur (semaine 9-13).
- Documentation finale: registre des traitements RGPD article 30, information individuelle écrite (RGPD articles 13 et 14), procédure de retrait, durée de conservation plafonnée à contrat de travail + 3 mois (semaine 14-16).
Pour le DPO et le RSSI: la consultation CSE pèse plus que la technique. Le planning 12 à 16 semaines intègre une marge significative pour la phase sociale (consultation CSE), qui constitue systématiquement le chemin critique du déploiement. La phase d’AIPD et de consultation CSE représente couramment 5 à 7 semaines, contre 4 à 6 semaines de mise en œuvre technique réelle: ce sont le DPO et la DRH qui déterminent le chemin critique, pas l’intégrateur. Tout planning annoncé sous 8 semaines par un fournisseur sûreté masque généralement une AIPD bâclée ou une consultation CSE escamotée, ce que la CNIL sanctionne directement (délibération SAN-2021-013, 200 000 € pour AIPD insuffisante). Kytom coordonne le DPO client, l’intégrateur sûreté et le bailleur sur l’intégralité des projets sensibles depuis 2006.
Empreinte sur badge ou facial 3D: 3 000 à 8 000 € par porte selon l’architecture
Le règlement type CNIL 2019 (délibération n°2019-001) privilégie les architectures sans base centralisée. L’empreinte digitale avec template stocké sur le badge individuel garde le salarié maître de sa donnée biométrique: c’est l’option la plus conforme et la plus rapide à déployer (8 à 10 semaines contre 14 à 16). La reconnaissance faciale 3D infrarouge nécessite par construction une base centralisée de gabarits, ce qui exige une justification renforcée.
| Critère | Empreinte sur badge | Facial 3D infrarouge |
|---|---|---|
| Architecture CNIL | Décentralisée (préférée) | Centralisée (justification renforcée) |
| Durée projet | 8 à 10 semaines | 14 à 16 semaines |
| Investissement par porte | 3 000 à 5 000 € | 5 000 à 8 000 € |
Les temps de franchissement et taux d’adhésion varient selon les équipements et contextes d’usage; nos équipes peuvent vous communiquer leur lecture de projets comparables. L’adhésion utilisateur à 6 mois s’avère le plus souvent meilleure avec l’empreinte sur badge, dont l’ergonomie est perçue comme moins intrusive que la reconnaissance faciale. Les fourchettes d’investissement par porte sont des repères de marché que nous calons sur chaque typologie de projet, hors coûts d’AIPD et de conduite du changement.
Limites du choix biométrique. L’empreinte sur badge perd son intérêt opérationnel sur des accès à fort flux avec mains occupées (laboratoires, salles blanches, plateaux de production): le geste de présentation du doigt sur lecteur ralentit le flux et provoque un taux d’échec de première lecture sensible. Le facial 3D devient alors techniquement préférable, au prix d’une AIPD plus lourde.
Questions fréquentes
La biométrie est-elle autorisée dans un siège tertiaire standard?
Non par défaut. Le règlement type CNIL 2019 (délibération n°2019-001) limite la biométrie à 3 cas: protection de personnes en laboratoires P3-P4, protection de biens de haute valeur (coffres, salles des marchés), protection d’informations stratégiques sous IGI 1300. Sur la grande majorité des sièges tertiaires, sans actif sensible nommément identifié, le badge chiffré DESFire EV2 répond au besoin sans entrer dans le champ de l’article 9.