Données biométriques : gare aux atteintes aux droits fondamentaux !

Publié le 26/09/2018

Une entreprise peut-elle contrôler les horaires de travail des salariés par un dispositif de pointage biométrique ? En principe non, nous rappelle la CNIL, sauf dans des circonstances très exceptionnelles. Dans la mesure où cela entrave les droits fondamentaux des salariés, la collecte des données biométriques fait l’objet d’un régime juridique très protecteur. CNIL, Délibération n°SAN-2018-009, 06.09.18.

La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité compétente en matière de protection des données personnelles. La loi Informatique et Libertés du 6 janvier 1978, modifiée par celle du 6 août 2004, régit les principes à respecter sur le traitement des données personnelles. Un règlement européen du 27 avril 2016 est venu harmoniser le traitement des données personnelles des citoyens en instaurant un régime juridique unifié au niveau européen.

  • Faits

Une entreprise spécialisée dans la télésurveillance d’ascenseurs et de parkings a mis en place un dispositif de pointage biométrique (par recueil de l’empreinte digitale) dans le but de contrôler les horaires des salariés ainsi qu’un dispositif d’enregistrement des appels téléphoniques.

En 2016, saisie d’une plainte, la CNIL a effectué un contrôle dans les locaux de l’entreprise. C'est ainsi qu'elle a pu constater qu'un dispositif de pointage biométrique à des fins de contrôle des horaires des salariés avait été installé sans son autorisation. Elle a également constaté que le dispositif d’enregistrement des appels téléphoniques avait été mis en place sans que les salariés n’en soient non plus informés !

  • Procédure

Constatant ces différents manquements, la présidente de la CNIL a alors mis l’entreprise en demeure de se mettre en conformité avec les dispositions de la loi Informatique et libertés, et par conséquent de cesser «d’utiliser le dispositif biométrique de contrôle des horaires des salariés» d'une part, et, d'autre part, de supprimer toutes les données collectées par ce dispositif dans un délai de 3 mois.

Malgré ses nombreuses recommandations et les échanges qu’elle a eus avec l’entreprise, la CNIL a pu constater, lors d'un nouveau contrôle, que certains manquements persistaient. Parmi ces manquements, le boîtier biométrique n’avait toujours pas été désinstallé, certains salariés continuaient de l’utiliser et leurs données biométriques demeuraient donc conservées.

Tirant les conséquences de ces manquements persistants la CNIL a condamné l’entreprise à une amende de 10 000 euros.

  • Le principe d’interdiction d’un dispositif biométrique pour contrôler les horaires des salariés

La collecte de données biométriques relève d’un régime juridique très protecteur pour les salariés, puisque cela touche à leurs libertés individuelles.

La CNIL nous précise que les données biométriques sont des données uniques. Elles permettent en effet d’identifier une personne « à partir de ses caractéristiques physiques ou biologiques ». Ainsi, lorsqu’une entreprise met en place un dispositif de contrôle qui collecte des données biométriques, celle-ci ne peut le faire sans respecter rigoureusement une procédure imposée par la loi Informatique et libertés.

La CNIL rappelle dans sa décision que depuis 2012, la règle de principe vise à exclure l’utilisation de tout dispositif biométrique à des fins de gestion des horaires des salariés.

Elle nous précise néanmoins que la mise en place d’un tel dispositif peut faire l’objet d’une autorisation préalable conformément à la loi Informatique et Libertés (1) à condition que le responsable du traitement démontre « qu’il existe des circonstances exceptionnelles fondées sur un impératif spécifique de sécurité».

Or en l’espèce, la CNIL a constaté que l’entreprise en question ne justifiait «d’aucune circonstance exceptionnelle imposant le recours à la biométrie pour le contrôle des horaires des salariés».

En conséquence, elle a estimé que  la société avait « procédé à une collecte de données excessives au regard des finalités pour lesquelles elles étaient collectées ».

  • Une décision protectrice des droits fondamentaux des salariés

La décision de la CNIL répond à une logique de protection des droits fondamentaux des salariés, et donc de leur vie privée.

Rappelons que selon l’article L. 1121-1 du Code du travail, l’employeur ne peut apporter aux droits des salariés et à leurs libertés individuelles et collectives de "restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir, ni proportionnées au but recherché".

  • Une protection des données renforcée par la nouvelle réglementation européenne

Il faut savoir qu’un règlement européen sur la gestion de la protection des données a été adopté en avril 2016(2). Dans la foulée, une loi française du 20 juin 2018 est venue adapter le droit national à l’évolution de ces nouvelles dispositions européennes, en modifiant la loi Informatique et libertés de 1978.

Désormais, selon le règlement européen de 2016 ,la récolte des données des salariés issues d’un dispositif biométrique en entreprise est interdit, sauf exceptions limitativement énumérées à l’article 9.2.b du règlement. Celui-ci énonce que le traitement des données biométrique n'est possible que s’il est nécessaire « aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou la personne concernée en matière de droit du travail […] dans la mesure où ce traitement est autorisé […] par le droit d’un Etat membre ou par une convention collective conclue […] qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêt de la personne concernée ».



(1) Article 25, I, 8° de de la loi du 6.01.78 modifiée.

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27.04.16 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), Texte présentant de l'intérêt pour l'EEE.