L’installation d’un dispositif de contrôle d’accès doit faire l’objet d’un engagement de conformité déposé auprès de la CNIL (Commission Nationale Informatique et Libertés)
Cet engagement de conformité doit répondre à la norme simplifiée NS-042 Cette norme concerne la gestion des contrôles d’accès (non biométriques) sur les lieux de travail pour les salariés et les visiteurs, la gestion de horaires ainsi qu’à la gestion de la restauration.
Si l’entreprise dispose d’un Correspondant Informatique et Libertés (CIL), elle est dispensée de ces formalités.
Les dispositifs de contrôle d'accès utilisant la biométrie sont strictement encadrés

Depuis le 30 juin 2016, deux autorisations uniques encadrées pat la CNIL encadrent désormais l'ensemble des dispositifs de contrôle d'accès biométrique sur les lieux de travail, quels que soient les types de biométries utilisées.
Ces nouvelles dispositions abrogent les autorisations uniques antérieures AU-007, AU-008, AU-019, AU-027.

accès biométriqueL’autorisation unique AU-052 concerne les dispositifs biométriques permettant aux personnes de garder la maîtrise de leur gabarit biométrique. La CNIL impose donc de stocker le gabarit biométrique sur un support détenu par la seule personne concernée ou en base de données sous une forme inexploitable car illisible sans un secret détenu par la seule personne concernée.
Ces systèmes intègrent donc par défaut des mécanismes permettant de respecter la vie privée des personnes. Ils doivent être privilégiés lorsqu’un contrôle d’accès biométrique est mis en place dans un contexte professionnel.

Les dispositifs biométriques ne garantissant pas cette maîtrise sont encadrés par l’autorisation unique AU-053.


dispositif biométrique L’entreprise devra alors prouver que le dispositif biométrique est nécessaire aux fins de contrôle d’accès et qu’il ne peut se contenter d’un système moins intrusif (une simple badgeuse par exemple).
Il doit justifier de son besoin de centraliser les gabarits biométriques dans ses serveurs. Le responsable du dispositif biométrique devra argumenter par écrit ses choix et appliquer les mesures de sécurité précisées dans l’autorisation unique AU-053.

L’entreprise devra alors prouver que le dispositif biométrique est nécessaire aux fins de contrôle d’accès et qu’il ne peut se contenter d’un système moins intrusif (une simple badgeuse par exemple).
Il doit justifier de son besoin de centraliser les gabarits biométriques dans ses serveurs. Le responsable du dispositif biométrique devra argumenter par écrit ses choix et appliquer les mesures de sécurité précisées dans l’autorisation unique AU-053.