Recourir à la biométrie pour contrôler l’accès à l’entreprise (ou à certains équipements)
Des obligations à respecter …
Recourir à la biométrie = une nécessité ? Parce que la biométrie touche à la vie privée des salariés, l’employeur ne peut pas recourir à la biométrie comme il le souhaite. Il doit justifier la nécessité de recourir à la biométrie et démontrer qu’il n’avait pas d’autres choix que de recourir à cette méthode pour protéger son entreprise. Ainsi, il devra justifier pourquoi il préfère un contrôle par empreinte digitale plutôt qu’un contrôle par badge, par exemple.
Expliquer le contexte. L’employeur doit expliquer pourquoi la biométrie est le meilleur moyen de sécuriser l’accès à son entreprise. Il doit rendre compte d’un contexte spécifique justifiant une protection accrue de la sécurité de son entreprise. L’employeur doit aussi démontrer pourquoi un autre moyen de contrôle serait insuffisant à garantir la sécurité de son entreprise.
Un règlement. La Cnil a publié, le 10 janvier 2019, un règlement-type encadrant le recours à la biométrie sur les lieux de travail. Elle entend le faire appliquer à tous les employeurs de droit privé ou public, qui ont recours à la biométrie pour leur salariés, stagiaires ou prestataires, afin de contrôler l’accès aux locaux et/ou à certains équipements de l’entreprise.
Une obligation préalable. Le règlement-type encadre le recours à la biométrie sur les lieux de travail en demandant notamment aux employeurs d’identifier de façon limitative les locaux, les appareils et les applications informatiques, nécessitant un contrôle par biométrie.
Conservation des données. Parce que les données recueillies par la biométrie sont sensibles, elles doivent être sécurisées et garantir le respect de la vie privée des salariés. Ainsi, elles ne peuvent être conservées que pendant une période limitée.
Concrètement. Les données de journalisation des accès produites par le dispositif biométrique ne peuvent pas être conservées en base active pendant plus de 6 mois glissants à compter de leur date d'enregistrement. Elles peuvent, toutefois, être conservées sous forme d'archives intermédiaires distinctes de la base active (avec accès restreint), s’il existe des dispositions légales spécifiques ou si ces données présentent un intérêt en cas de contentieux, justifiant de les conserver le temps des règles de prescription/forclusion applicables.
Autres données. Le gabarit, que constitue le résultat de l’enregistrement de la donnée biométrique (appelée « données biométriques dérivées »), ne peut être conservé que pendant la durée d'habilitation du salarié concerné, et doit être supprimé en cas de retrait des habilitations ou en cas de rupture du contrat de travail. Les données d'identification du salarié, autres que les gabarits biométriques, doivent être supprimées au plus tard dans les 6 mois qui suivent la date du retrait des habilitations ou de la rupture du contrat de travail.
Quelle donnée biométrique utiliser ? Notez que toutes les données biométriques ne peuvent pas être collectées : il est en effet impossible pour un employeur d’effectuer des prélèvements biologiques sur ses salariés (sang, salive…). En milieu professionnel, l’authentification biométrique ne peut être basée que sur des caractéristiques morphologiques des personnes concernées. Au sein même du contrôle biométrique, il devra justifier pourquoi il préfère avoir recours à telle donnée biométrique plutôt qu’à une autre (par exemple l’iris plutôt que l’empreinte).
Le saviez-vous ?
Le règlement-type oblige l’employeur à justifier et documenter les choix qu’il effectue lors de la mise en place des dispositifs biométriques.
Garantir la protection des données personnelles. Le règlement-type adopte une démarche de responsabilisation de l’employeur. Ce dernier doit alors s’assurer de la licéité des dispositifs qu’il met en œuvre, et du respect de ses obligations en matière de protection des données.
Comment procéder ? L’employeur doit mener une réflexion en interne, et la retranscrire par écrit. Cet écrit devra être fourni à la Cnil si elle le réclame. La documentation, fournie par l’employeur, doit être circonstanciée et doit détailler les risques pour les droits et intérêts des salariés, ainsi que les mesures mises en œuvre pour limiter ces risques. Pour cela, il devra mettre en place une « analyse d’impact relative à la protection des données » avant la mise en œuvre des dispositifs biométriques. Cette documentation doit être mise à jour au moins tous les 3 ans.
Et vis-à-vis des salariés ? Pour respecter ses obligations, l’employeur doit également remettre aux salariés concernés par le contrôle biométrique une notice d’information précisant la finalité du traitement, l’identité du responsable, les données conservées…
Le saviez-vous ?
Il n’est pas nécessaire de recueillir le consentement des salariés pour mettre en place un contrôle par biométrie.
… sous peine de sanctions !
Qui sanctionne ? Le contrôle de l’application du règlement-type et, de manière plus générale, du règlement général pour la protection des données (RGPD) est une mission dévolue à la Cnil qui peut mettre en demeure les contrevenants ou les sanctionner.
Qui peut être sanctionné ? En cas de non-respect des obligations découlant du RGPD et du règlement-type, c’est le « responsable du traitement » qui s’expose à des sanctions, c’est-à-dire la personne qui est à l’origine de la mise en place des contrôles biométriques (concrètement, l’employeur). Si ce dernier a sous-traité l’installation des dispositifs de contrôle, il demeure celui qui en est à l’origine, et donc le responsable du traitement.
Quelles sanctions ? Si l’employeur ne respecte pas les obligations présentes dans le règlement-type en matière de contrôle par biométrie, la Cnil peut prononcer les sanctions suivantes :
- un rappel à l’ordre ;
- une injonction, éventuellement sous astreinte, de mettre le traitement en conformité ;
- une limite temporaire ou définitive à un traitement ;
- une suspension des flux de données ;
- l’ordre de satisfaire aux demandes d'exercice des droits des personnes, y compris sous astreinte ;
- une amende administrative pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial.
Le saviez-vous ?
Ces sanctions peuvent être rendues publiques.
A noter. En plus des obligations découlant du règlement-type de la Cnil et du RGPD, l’employeur devra également respecter les règles issues du Code du travail (et d’autres dispositions légales applicables). A ce titre, soulignons qu’il doit, dans les entreprises d’au moins 50 salariés, procéder à l’information/consultation du CSE, préalablement à leur mise en place, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés.
A retenir
La Cnil a voulu encadrer le recours au contrôle biométrique sur les lieux de travail, en précisant les règles à suivre par l’employeur pour protéger les intérêts des salariés concernés.
L’employeur doit donc respecter une procédure spécifique et justifier un tel recours à la biométrie plutôt qu’à un autre dispositif.
J'ai entendu dire
Le recours à la badgeuse photo paraît être une bonne alternative pour contrôler à la fois l’accès aux locaux de l’entreprise et le temps de travail des salariés. Pouvons-nous l’envisager ?La Cnil a mis en demeure un certain nombre d’entreprises de cesser d’utiliser une badgeuse photo, estimant que cette pratique, consistant à photographier un salarié à chaque fois qu’il badge, est excessive.
Elle considère que les pointeuses par badge, qui enregistrent le jour et l’heure de pointage de la personne utilisant le badge, permettent déjà d’assurer un contrôle satisfaisant des horaires de travail des employés et recommande aux employeurs de renforcer le rôle du personnel encadrant, notamment pour prévenir et empêcher la fraude.
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), articles 12 et suivants
- Délibération n° 2019-001 du 10 janvier 2019 portant règlement type relatif à la mise en œuvre de dispositifs ayant pour finalité le contrôle d'accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail
- Articles L2312-37 et L2312-38 du Code du travail
- Actualité Cnil du 27 août 2020 – Badgeuses photo : mise en demeure de plusieurs employeurs pour collecte excessive de données