L'eID sur le lieu de travail
Tout belge possède une carte d'identité (électronique). Auparavant, la carte d'identité était exclusivement utilisée dans le cadre d'obligations administratives vis-à-vis de la commune et de la police, mais avec la carte d'identité électronique (l'eID), il est également possible de signer des documents officiels mais aussi de contrôler.
L’eiD est une preuve d’identité électronique pouvant être utilisée à des fins d’identification et d’authentification. Celle-ci comporte une série de donnée sensibles à la fois imprimées sur la carte et enregistrées sur la puce, dans un fichier électronique. Il s'agit entre autres du nom, des prénoms, de la nationalité, de la date et du lieu de naissance, du sexe, de la photo, du numéro de registre national. Désormais, la carte d’identité contient aussi le empreintes digitales du titulaire de la carte. L’APD s’est prononcée plusieurs fois à ce sujet.
Notre carte d’identité est donc constituée de données à caractère personnel qu’il s’agit de protéger.
Un employeur peut demander l'eID d'un (candidat) travailleur s'il a une bonne raison de le faire. Pendant la procédure de recrutement, ce sera par exemple :
- lorsque l'employeur invite des candidats travailleurs sur la base des résultats obtenus à un test d'admission. Dans ce cas, l'employeur peut demander au candidat travailleur de prouver son identité afin qu'il n'y ait par la suite aucun doute sur les résultats qu'il a obtenus
- la situation où l’employeur doit vérifier si le travailleur dispose de certaines qualifications ou de certains permis de travail. Il doit alors connaître l'identité du candidat travailleur et pouvoir la comparer avec celle qui est mentionnée sur les qualifications ou sur les permis de travail en question.
Les bureaux d'intérim peuvent également demander l'eID des demandeurs d'emploi. Comme tout autre employeur, un bureau d'intérim doit remplir toutes sortes d'obligations de sécurité sociale suite à la conclusion d'un contrat de travail. Dans le cadre du travail intérimaire, il s'écoule souvent très peu de temps entre la sélection d'un candidat à un emploi intérimaire et son entrée en service. Le bureau d'intérim peut dès lors demander et lire l'eID (y compris le numéro de Registre national) du travailleur intérimaire dès son inscription et ce aux fins de son entrée en service.
L'eID a été conçue afin d'offrir aux citoyens un moyen de s'authentifier de façon fiable et de signer des documents sous forme numérique.
Il est dès lors compréhensible que les employeurs souhaitent également utiliser cette possibilité. La puce dont est munie l'eID comporte deux clés distinctes permettant au titulaire de la carte :
- de prouver son identité à des tiers (clé d'authentification) ;
- de prouver son identité et de signer le contenu d'un document (clé de signature numérique).
Pour utiliser les deux certificats, le titulaire de l'eID doit introduire son code PIN.
Il est en effet important de savoir que chaque clé s'accompagne d'un certificat. Ce certificat est un fichier contenant entre autres le nom, les prénoms, le numéro de Registre national de la personne concernée ainsi que plusieurs données techniques relatives à la clé.
L'employeur peut utiliser l'eID pour permettre aux travailleurs d'accéder aux systèmes informatiques de l'entreprise. Cette pratique est soumise à la condition que l'employeur ait une bonne raison d'utiliser l'eID comme clé d'identification pour les systèmes informatiques de l'entreprise. En outre, il doit aussi toujours informer le travailleur au préalable concernant l'utilisation de l'eID par l'employeur.
La consigne de signer des documents à l'aide de l'eID ne peut être donnée que pour des documents relevant des tâches du travailleur concerné et si une simple signature ne suffit pas.
Étant donné que l'employeur est le responsable du traitement pour les données à caractère personnel qui sont traitées lors de l'apposition d'une signature électronique à l'aide de l'eID, il doit prendre les mesures techniques et organisationnelles appropriées pour protéger les données à caractère personnel de ses travailleurs qui utilisent leur eID afin de signer des documents professionnels. Concrètement, l'employeur doit mettre en œuvre des moyens suffisants pour protéger ses systèmes informatiques contre des logiciels malveillants (malware) visant à piéger des personnes en leur faisant signer des documents à leur insu ou dont le contenu n'est pas celui qu'ils pensent.