| N° de demande d'avis : 25003288. | Thématiques : biométrie, contrôleur aérien, contrôle de présence et temps de présence. | |:----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|:--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| |Organisme(s) à l'origine de la saisine : direction générale de l'aviation civile rattachée au ministère de la transition écologique, de la biodiversité, de la forêt, de la mer et de la pêche.|Fondement de la saisine : article 31.II de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés.|
L'essentiel :
La CNIL est saisie d'un projet de décret visant à permettre l'installation de dispositifs de contrôle du temps de travail des contrôleurs aériens reposant sur les empreintes digitales de ceux-ci.
La mise en œuvre d'un dispositif de contrôle de temps de présence sur site constitue une finalité légitime pour le responsable de traitement.
La doctrine de la CNIL exclut l'utilisation de données biométriques à des fins de contrôle de présence ou du temps de travail des employés, sauf à démontrer de circonstances exceptionnelles fondées, par exemple, sur un impératif de sécurité.
La CNIL prend acte de l'existence en l'espèce d'un tel motif d'intérêt public puisque la présence du personnel concerné contribue à assurer la sécurité du trafic aérien. Les risques encourus, tels que présentés par la DSNA, apparaissent réels et les conséquences en cas d'accident seraient lourdes.
Au regard de l'ensemble des éléments du dossier, la CNIL estime être en présence de circonstances exceptionnelles, fondées sur un impératif de sécurité, de nature à justifier la nécessité et la proportionnalité d'un dispositif biométrique.
Elle estime cependant nécessaire de confirmer cette analyse par la mise en œuvre d'une expérimentation du dispositif SPS, donnant lieu à une évaluation dont elle souhaiterait être destinataire.
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment ses articles 8.I.2°.A et 31.II ;
Après avoir entendu les représentants de la direction des services de la navigation aérienne ;
Après avoir entendu le rapport de Mme Aminata Niakaté, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
La direction générale de l'aviation civile (DGAC), plus précisément la direction des services de la navigation aérienne (DSNA), a pour mission d'assurer l'écoulement sûr et régulier du trafic aérien.
Les contrôleurs aériens ont pour mission d'assurer en permanence la sécurité et la fluidité du trafic aérien. Des tours de service déterminent le nombre de contrôleurs aériens nécessaires à la bonne gestion du trafic au regard du flux aérien attendu. Ces tours de service indiquent à chaque contrôleur les jours et heures de présence en salle de contrôle. Chaque contrôleur sur position de contrôle s'y voit attribuer une zone de contrôle adaptée au trafic aérien anticipé et au nombre de contrôleurs prévus au tour de service.
Depuis plus de vingt ans, des rapports établis par différentes institutions ont mis en exergue un problème d'absentéisme qui découlerait de la pratique dites des « clairances » et de son potentiel impact sur la sécurité des aéronefs.
Le système des « clairances » désigne en effet l'autorisation, non-conforme au tour de service théoriquement prévu qui est donnée au contrôleur aérien par son chef d'équipe d'arriver plus tard ou de quitter plus tôt son poste en fonction des besoins estimés par ce dernier du trafic aérien. Cette pratique, acceptée pendant des années par l'administration, serait la conséquence de la nature saisonnière de l'activité.
Un arrêté du 8 juillet 2024 encadre désormais l'organisation du temps de travail des contrôleurs aériens et prévoit des mesures organisationnelles telles que les « montées décalées » et les « départs anticipés » afin d'adapter le tour de service en fonction des besoins du trafic.
Pour vérifier notamment le respect de ces règles, des dispositifs de badgeage simple de contrôle d'accès aux locaux à finalité horaire ont été déployés au sein de la majorité des sites sans que, selon la DSNA, cela ne permette d'atteindre l'objectif fixé.
Suite à un incident de sécurité, le Bureau d'étude et d'analyse pour la sécurité dans l'aviation civile (BEA), autorité indépendante en charge des enquêtes sur les incidents et accidents de l'aviation civile a émis pour recommandation de sécurité que « la DSNA équipe les centres de contrôle d'un moyen automatique et nominatif d'enregistrement de présence des contrôleurs sur position et sur le lieu de travail, et s'assure que ces informations soient utilisables par les services de la DSNA notamment pour s'assurer de l'adéquation des effectifs et permettre l'analyse des événements de sécurité ».
Dans le prolongement de cette recommandation, la DSNA a proposé un plan d'action validé par l'autorité de surveillance en matière de sécurité aérienne, la direction de la sécurité de l'aviation civile (DSAC).
Ce plan d'action comprend :
- d'une part, des contrôles de présence aléatoires (sur 5 sites par semaine, tirés au sort), mis en œuvre depuis 2024, ainsi qu'en cas d'évènement de sécurité significatif. Ces contrôles sont effectués sur la base des dispositifs existants de contrôles d'accès aux locaux et des tours de service ;
- d'autre part, la mise en œuvre d'un dispositif biométrique de contrôle de présence sur site et de temps de présence, indépendant du contrôle d'accès, par le dispositif « Système de vérification de la présence sur site » (SPS) ;
- enfin, la mise en œuvre en 2026 d'un contrôle nominatif et automatique sur « position de contrôle » par le dispositif « sécurité de l'armement des positions de contrôle » (SAPC), utilisant le même badge que le système SPS mais sans contrôle biométrique. Il sera mis en œuvre afin d'identifier quel contrôleur, préalablement identifié sur SPS à l'entrée dans la salle de contrôle, tient quelle position pendant combien de temps.
B. - L'objet de la saisine
Le projet de décret vise à autoriser la mise en œuvre du dispositif SPS qui repose sur la collecte et le traitement des empreintes digitales des personnes concernées :
- lors de l'enrôlement : chaque contrôleur enregistre l'empreinte de deux doigts, immédiatement transformées en gabarits chiffrés par une clé, sous le contrôle du responsable de traitement, et enregistrés exclusivement sur le badge du contrôleur ;
- lors du début et de la fin de sa vacation de contrôle, le contrôleur présente son doigt et son badge à l'une des badgeuses présentes au sein de chaque salle et de chaque tour de contrôle. Cette badgeuse compare les deux gabarits et envoie sur un serveur sécurisé les informations relatives à la date et à l'heure du badgeage de la personne concernée en cas de non-conformité. Elle ne conserve pas les données liées aux empreintes digitales et aux gabarits.
Mis en œuvre pour le compte de l'Etat par la DGAC en tant que responsable de traitement, et intéressant la sécurité publique, le traitement doit être autorisé par un décret en Conseil d'Etat sur le fondement de l'article 31.II de la loi « informatique et libertés » en raison du traitement de données sensibles.
II. - L'avis de la CNIL
A. - Sur la légitimité du dispositif SPS au regard des enjeux de sécurité publique
L'article 1.1° du projet de décret prévoit que le dispositif SPS vise à « garantir la présence et le temps de présence sur site des contrôleurs aériens affectés à une position opérationnelle en salle ou tour de contrôle (…), indispensables afin d'assurer la sécurité aérienne ».
Le 2° de l'article 1e prévoit que les données pourront être utilisées pour analyser les événements de sécurité.
Enfin, le 3° de l'article 1er du projet prévoit que le dispositif SPS aurait également pour finalité de transmettre les données d'identification, les dates et heures d'entrée et de sortie, ainsi que le résultat des tests de correspondance entre l'empreinte digitale et le gabarit aux personnels compétents, notamment en charge des ressources humaines en cas de non-conformité détectée sur la présence ou le temps de présence effectif. Cette transmission serait effectuée en vue de la prise d'une décision adaptée, après procédure contradictoire, conformément au code général de la fonction publique. La CNIL souligne que la « transmission » ne constitue pas une finalité mais un moyen et prend acte de l'engagement du ministère de modifier le projet de décret afin d'exclure cette finalité, qui relève de la conduite des procédures, éventuellement disciplinaires, de ressources humaines.
Le ministère précise qu'une non-conformité serait détectée en cas d'incohérence entre l'empreinte présentée et celle de la personne prévue au regard des horaires de badgeage attendus. Ainsi, aucun délai de tolérance n'est permis lors du badgeage (30 secondes de retard entraînant par exemple une non-conformité).
L'ensemble des non-conformités décelées sont d'abord envoyées aux personnes habilitées de la direction des opérations et au chef de centre concerné, deux jours après la vacation. Ce dernier, après s'être entretenu avec l'agent concerné afin d'apprécier les justifications apportées, décidera de l'opportunité de transmettre la non-conformité aux agents compétents de la sous-direction des ressources humaines de la DSNA en vue de la prise de décision adaptée.
L'article 5.1.b du RGPD prévoit notamment que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes.
Le contrôle de présence et de temps de présence sur site constitue une finalité légitime pour le responsable de traitement qui détermine les horaires effectués par ses employés et agents et doit être en mesure de s'assurer de leur respect, compte tenu de sa qualité d'employeur.
Ce traitement a pour base légale la mission d'intérêt public du responsable de traitement (article 6.1.e du RGPD).
Le ministère a indiqué qu'il est apparu indispensable d'assurer le double contrôle SPS et SAPC, qui ne poursuivent pas les mêmes objectifs :
- le projet SAPC vise à contrôler les heures de contrôle aérien réellement effectuées par chaque agent (nécessaires notamment pour le renouvellement de leur licence) ;
- le projet SPS vise à s'assurer de leur temps de présence sur le site où est opéré le contrôle : l'ensemble des contrôleurs aériens ne doivent pas nécessairement être présents sur position mais doivent être, dans le cadre de leur vacation, présents en réserve afin d'assurer la relève de la tour de service si besoin, en réunion d'information ou en formation.
B. - Sur la nécessité et la proportionnalité du traitement des données biométriques
a) La doctrine de la CNIL
Les données biométriques, définies par l'article 4.14 du RGPD, ont la particularité d'identifier de manière unique un individu à partir de ses caractéristiques physiques ou biologiques. Leur traitement à cette fin est, par principe, interdit sauf à justifier d'une exception fondée sur l'article 9.2 du RGPD.
Le traitement de ces données appelle une appréciation particulièrement exigeante qui impose de vérifier que leur recueil est nécessaire pour les finalités du traitement de sorte que celles-ci ne pourraient être atteintes par des moyens moins intrusifs.
Si le traitement de données biométriques est admis sur le lieu de travail à des fins de contrôle d'accès aux locaux, aux applications et aux outils de travail dans le respect des exigences de son règlement type, la CNIL n'a pas admis le traitement de ces données à des fins de contrôle du temps de travail sauf à démontrer des circonstances exceptionnelles fondées sur un impératif de sécurité de nature à justifier un tel dispositif.
Cette position a, de manière constante, été rappelée dans plusieurs délibérations (2015-087 du 5 mars 2015 et 2023-135 du 14 décembre 2023) et a justifié la sanction d'un organisme (délibération SAN-2018-009 du 6 septembre 2018).
Le ministère n'est fondé à pouvoir traiter ces données que si l'exception prévue au g du 2 de l'article 9 est mobilisable à savoir, d'une part, l'existence d'un motif d'intérêt public important et, d'autre part, la nécessité de traiter ces données pour l'atteindre et l'absence d'atteinte disproportionnée au respect du droit à la vie privée et à la protection des données personnelles des contrôleurs.
b) Sur l'existence d'un motif d'intérêt public important
Le ministère justifie le traitement de données biométriques par des motifs de sécurité publique. Selon lui, « l'absence de contrôleurs aériens induit une gestion plus difficile du trafic aérien et un risque plus grand pour la sécurité ».
La CNIL estime, dès lors, que le traitement des données biométriques - sous réserve qu'il soit nécessaire - participe à un motif d'intérêt public important.
c) Sur la nécessité de traiter des données biométriques
Le ministère justifie le recours à la biométrie au regard du contexte spécifique dans lequel s'inscrit le projet de la DSNA : il met en exergue les rapports émanant de différentes autorités, notamment de la Cour des comptes et du BEA, qui procèdent au même constat et invitent la DSNA à équiper ses centres d'un moyen fiable de contrôle de la présence des contrôleurs aériens sur leur lieu de travail. Il fait valoir que les difficultés en cause sont anciennes, et que les procédés utilisés jusqu'ici pour renforcer le contrôle n'ont pas permis de les résoudre.
Le ministère précise que les mesures alternatives mises en œuvre se sont révélées inefficaces ou inadéquates :
- l'utilisation d'un badge sans biométrie a conduit à la mise en œuvre de techniques de contournement telles que les « prêts de badge » ;
- l'absence de réelle autorité et contrainte hiérarchiques ne permet pas de considérer l'encadrement hiérarchique comme une mesure alternative moins intrusive adéquate.
Au total, selon le ministère, « une identification biométrique est apparue indispensable afin de garantir, pour des raisons évidentes de sécurité, que les personnels présents sur site sont bien ceux prévus au tour de service » alors que « les autorités de surveillance et de contrôle européenne et nationale ont mis clairement en exergue l'inefficacité des mesures mises en œuvre jusqu'à présent par la DSNA ».
La CNIL admet, notamment sur le fondement du règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux (…) du 10 janvier 2019, qu'un dispositif biométrique soit utilisé pour s'assurer que des personnes non habilitées n'accèdent pas à des locaux sensibles ou exposés à des risques particuliers. Des dispositifs analogues sont admis pour le contrôle de la connexion à certains logiciels. La CNIL préconise alors de recourir à un stockage entièrement décentralisé des gabarits biométriques. Elle estime, en revanche, que l'utilisation de moyens d'identification biométrique à des fins de contrôle de la présence ou du temps de travail des employés est en principe disproportionné et doit être réservé à des situations exceptionnelles, dans le respect des articles 6 et 9 du RGPD.
En l'espèce, le dispositif a pour finalité de contrôler la présence des contrôleurs aériens sur leur lieu de travail, afin d'assurer la sécurité aérienne. Il ne rentre donc pas dans le cadre d'application du règlement type de 2019 : la CNIL a donc procédé à un examen attentif de sa licéité.
Le traitement est justifié par le ministère, pour l'application des articles 6 et 9 du RGPD, par le motif d'intérêt public important que constitue la sécurité aérienne. Un tel motif est de ceux qui peuvent justifier, à titre exceptionnel, un traitement tel que celui envisagé, à condition d'être nécessaire et proportionné.
S'agissant de la nécessité, il ressort des pièces du dossier que les difficultés liées à ce contrôle de présence sont anciennes et avérées. Par ailleurs, un contrôle limité à l'identification, même biométrique, de l'installation du contrôleur aérien sur sa « position de contrôle », qui répondrait alors aux conditions prévues par le règlement type de 2019, ne permettrait pas d'atteindre la finalité recherchée. En effet, il est nécessaire de pouvoir s'assurer que les contrôleurs, qui ne sont pas en position de contrôle mais requis sur site pour pouvoir relever ou compléter les contrôleurs en positions de contrôle, sont effectivement présents.
S'agissant de la proportionnalité, les risques encourus, tels que présentés par la DSNA, apparaissent réels. En outre, l'architecture choisie par le ministère repose sur un stockage des gabarits biométriques entièrement décentralisée, ce qui diminue l'atteinte à la protection des données personnelles en évitant un stockage dans une base de données centralisée, davantage exposée à une violation de données.
Au regard de l'ensemble de ces éléments, la CNIL estime être en présence de circonstances exceptionnelles, fondées sur un impératif de sécurité, de nature à justifier la nécessité et la proportionnalité d'un dispositif biométrique. Elle estime cependant nécessaire de confirmer cette analyse par la mise en œuvre d'une expérimentation du dispositif SPS, donnant lieu à une évaluation dont elle souhaite être destinataire.
Cette expérimentation permettrait de quantifier et de documenter dans quelle mesure le recours à la biométrie pour le contrôle de présence a permis de répondre aux impératifs de sécurité et à leur gestion, ainsi que les limites éventuelles de cette nouvelle méthode et, enfin, les potentiels risques ou effets négatifs qu'elle pourrait engendrer.
L'évaluation de cette phase d'expérimentation pourrait faire l'objet d'un protocole établi en lien avec les représentants des contrôleurs aériens, qui devrait évaluer les résultats obtenus au regard :
- des besoins ou objectifs opérationnels : il s'agit de mesurer l'apport du dispositif. Une typologie des signalements remontés pourra notamment être réalisée, associée aux suites qui y auront été apportées ;
- des performances techniques, notamment sur la correction des paramètres (taux d'erreurs, analyse et interprétation de celles-ci, mesures des biais éventuels, etc.) ;
- des impacts sur les conditions de travail des personnes concernés (perception de l'utilisation des données biométriques notamment).
Ce protocole pourra inclure, et de manière non exhaustive, les étapes de l'évaluation, son organisation concrète, dans le temps et l'espace, les indicateurs et critères de succès et d'échecs, afin de permettre un examen contradictoire fidèle à la méthodologie scientifique. La CNIL émet le souhait d'être tenue informée du protocole d'évaluation et de ses éventuelles mises à jour au cours de l'expérimentation. Le comité d'évaluation pourrait comprendre des représentants du personnel et des personnalités extérieures à la DSNA.
Pour autant, la CNIL estime que le dispositif SPS ne doit pas être la seule réponse, mais qu'il sera nécessaire d'approfondir la réflexion sur l'organisation, le contrôle et les éventuelles réponses disciplinaires.
C. - Sur le principe de protection des données par conception et le respect du principe de proportionnalité
L'article 3 du projet de décret précise que le gabarit de l'empreinte digitale serait chiffré et enregistré uniquement dans le badge d'accès de la personne concernée. La correspondance entre ce gabarit de référence et celui de l'empreinte digitale présentée à la badgeuse est ensuite vérifiée par cette dernière et les informations correspondantes ne sont pas conservées.
Ce choix effectué par le ministère correspond aux critères du « Type 1 » du règlement type, qui est celui que la CNIL recommande d'utiliser chaque fois que cela est possible. Dès lors, la CNIL considère que l'atteinte apportée à la protection des données personnelles des contrôleurs aériens par le système envisagé est proportionnée.
La CNIL rappelle cependant que d'autres architectures techniques rentrent dans la catégorie du « Type 1 » tels que les systèmes dits « match on card » dans lesquels le gabarit de référence ne quitte jamais le badge puisque la carte est elle-même munie d'un lecteur d'empreinte et elle-même capable de tester la correspondance des gabarits. La carte n'envoie ainsi qu'un simple statut sur le succès de la comparaison. Ces systèmes permettent d'éviter que les gabarits biométriques transitent sur un appareil tiers au badge, tel qu'une badgeuse dans le cas d'espèce, et sont donc, en général, davantage, au titre de l'article 25 du RGPD, plus protectrices des données personnelles.
Il apparaît que le ministère a déjà acheté et installé les badgeuses biométriques dans les plus grandes entités, et que cette installation était déjà en cours dans d'autres. La CNIL souligne qu'elle aurait aimée être associée à ce choix technique en amont de l'élaboration du décret, dès lors que l'installation d'un système « match on card », plus respectueux des données personnelles, aurait pu être approprié dans ce cas au vu de la taille des effectifs visés (environ 4 000 contrôleurs aériens), ainsi que du taux de rotation des effectifs (faible en raison des qualifications nécessaires pour l'exercice des missions), malgré le coût financier plus élevé des badges induit par cette approche.
Le ministère devrait mettre en place un suivi proactif des performances dans le temps et ce, afin de s'assurer du bon maintien en conditions opérationnelles du dispositif biométrique. La seule utilisation réactive basée sur la remontée éventuelle de dysfonctionnements ne saurait constituer un plan de vérification suffisant à l'échelle de ce déploiement.
D. - Sur les durées de conservation
L'article 3 du projet de décret prévoit que les données d'identité, de déplacement, ainsi que le résultat des tests de correspondance entre l'empreinte digitale et le gabarit sont conservés pendant une durée de cinq ans à compter de leur enregistrement.
Le ministère a précisé que ces données ne seraient conservées pendant une durée de cinq ans que dans la seule hypothèse où une non-conformité serait détectée.
La CNIL prend acte de l'engagement du ministère à modifier le projet de décret en ce sens et l'invite à modifier la note d'information qui sera transmise aux agents concernés.
E. - Sur la sécurité
a) Sur l'analyse de risques
Le risque lié à la survenance d'une modification illégitime des données du traitement a été évalué comme ayant une gravité très faible dans l'analyse des risques relatifs à la sécurité du ministère. Etant donné les conséquences que pourraient avoir sur les contrôleurs des modifications de données aboutissant à des non-conformités non avérées, la CNIL considère que le niveau de gravité d'un tel événement devrait être réhaussé et les mesures associées réévaluées.
Plus généralement, les échelles de gravité et de vraisemblance de l'analyse de risques sont peu granulaires (deux niveaux) et incohérentes entre l'analyse et la cartographie. Les enjeux du dispositif demandent une analyse plus fine des risques, aussi la CNIL invite le ministère à mettre à jour l'analyse de risques dans ce sens afin de garantir que les mesures de sécurité sont effectivement appropriées.
b) Sur les mesures
Le projet de décret prévoit une journalisation pour une durée de six mois, qui concerne uniquement les opérations effectuées par les opérateurs du traitement. La CNIL rappelle sa recommandation sur la journalisation qui comporte des éléments relatifs à la mise en place d'analyses proactives des données de journalisation, que ce soit par la génération automatique d'alertes ou bien par des mesures organisationnelles (par exemple par la génération de rapports réguliers et le contrôle humain des données par la hiérarchie pour les composantes les plus sensibles du traitement). De plus, les journaux devraient être conservés dans des dispositifs protégés en intégrité afin d'éviter toute modification des données. La CNIL prend acte de l'engagement du ministère en ce sens.
Concernant les mesures de chiffrement, le dispositif ne peut pas être considéré comme de type « match on card » puisque la comparaison biométrique a lieu sur la badgeuse et non pas directement sur le badge. Ainsi, ce point devrait être mis à jour dans la description des mesures puisqu'il implique que les données du gabarit, bien que chiffrées, transitent et soient déchiffrées par la badgeuse pour leur comparaison. En cohérence, le terme « match on card », qui ne correspond pas au système amené à être déployé, ne devrait pas être employé par les informations communiquées aux personnes concernées. La CNIL prend acte de l'engagement du ministère à modifier ces formulations.
Plus largement, la CNIL prend acte des mesures de sécurité mises en place par le ministère et en particulier le chiffrement des données, la non-persistance des gabarits après comparaison sur les badgeuses ainsi que la sécurisation matérielle et opérationnelle du dispositif d'enrôlement et estime que celles-ci semblent conformes aux articles 5.1.f et 32 du RGPD. Concernant le chiffrement des données relatives aux gabarits, la CNIL prend acte de l'engagement du ministère à systématiser l'usages des mécanismes et clés conformes à l'annexe B1 du référentiel général de sécurité.
Les autres dispositions du projet de décret n'appellent pas d'observations de la part de la CNIL.
1 version