Modèle de traitement de données RGPDContrôle d'accès par authentification biométrique sur les lieux de travail

Par: Dastro Naute

Moyens générauxPrivéPublic

Ce modèle de traitement est relatif au contrôle d’accès aux locaux ainsi que au contrôle d’accès aux appareils et applications informatiques professionnels

Finalités (2)

La finalité d'un traitement est l'objectif principal de l'utilisation des données personnelles. Ces données doivent être collectées pour un but bien déterminé et légitime et ne doivent pas être traitées ultérieurement de façon incompatible avec cet objectif initial

Contrôle d’accès aux locaux

Limitativement identifiés par l'organisme comme devant faire l'objet d'une restriction de circulation

Intérêts légitimes du responsable du traitement ou d'un tiers - art. 6-1 f)

Contrôle d’accès aux appareils et applications informatiques professionnels

Limitativement identifiés de l'organisme

Intérêts légitimes du responsable du traitement ou d'un tiers - art. 6-1 f)

Données (3)

L’article 30 du RGPD exige l’inscription des catégories de données traitées. Il s’agit ici de définir les catégories de données traitées. Celles-ci peuvent être dites courantes ou sensibles.

Données générées par le dispositif : journalisation des accès aux outils de travail

Détails des données

Numéro d'authentification ou numéro de support individuel requis

Horodatage des tentatives d’accèsrequis

Matériels ou applicatifs concernésrequis

Règles de conservation

Base active:

Les données de journalisation des accès produites par le dispositif biométrique ne peuvent être conservées en base active pendant plus de six mois glissants à compter de leur date d’enregistrement. Cela ne fait toutefois pas obstacle à leur conservation sous forme d’archives intermédiaires distinctes de la base active, avec accès restreint, dans la mesure où il existerait des dispositions législatives ou réglementaires spécifiques, ou encore si ces données présenteraient un intérêt en cas de contentieux, justifiant de les conserver le temps des règles de prescription/forclusion applicables.

Données générées par le dispositif : journalisation des accès aux locaux

Détails des données

Numéro d'authentification ou numéro de support individuel requis

Horodatage des tentatives d’accèsrequis

Accès utilisésrequis

Règles de conservation

Base active:

Données renseignées par l’employeur ou ses préposés

Détails des données

Plages horaires et modalités d’accès autoriséesrequis

Matériels ou applicatifs concernésrequis

Accès, zones et plages horaires autorisésrequis

Identité ou dénomination sociale de la personne (physique ou morale) ayant la qualité d’employeurrequis

Graderequis

Corps ou service d'appartenancerequis

Numéro de matricule internerequis

Numéro d'authentification ou numéro de support individuel requis

Enregistrement brut de la caractéristique biométrique et gabarit(s) d’une ou plusieurs caractéristiques biométriques

requisdonnées sensibles

photographie

requis

Prénom

requis

Nom

requis

Règles de conservation

Base active:

Les enregistrements bruts (photo, enregistrement audio, etc.) de la caractéristique biométrique ne peuvent être traités que le temps nécessaire au calcul du ou des gabarits : elles ne peuvent donc pas être conservées. Les données biométriques dérivées ne peuvent être conservées que sous forme de gabarits chiffrés ne permettant pas de recalculer la caractéristique biométrique d'origine. Elles ne peuvent être conservées que pendant la durée d’habilitation de la personne concernée, et doivent être supprimées en cas de retrait des habilitations ou en cas de cessation des fonctions de la personne concernée dans l’organisme employeur.

Sort final

Personnes concernées (1)

Une personne concernée est toute personne dont les données sont collectées, retenues ou traitées par le traitement de données en question. Ex : Dans le cadre d'un traitement de gestion du recrutement, n'importe quel candidat pour le poste concerné constitue une personne concernée