Biométrie et contrôle de la durée de travail

De plus en plus d’entreprises se posent aujourd’hui la question de savoir si un dispositif recueillant des données biométriques peut être utilisé pour contrôler la durée de travail des salariés.

Qu’est-ce qu’une donnée biométrique ?

Les données biométriques sont désormais définies par le Règlement européen sur la protection des données (RGPD – art. 4-14). Il s’agit des « données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ».

Il s’agit par exemple des empreintes digitales, de la reconnaissance de l’iris, de la voix, de la démarche.

Le principe : l’interdiction de la collecte de données biométriques

Le RGPD, entré en vigueur le 25 mai 2018, considère les données biométriques comme des données « sensibles », dont la collecte est en principe interdite. (Règl. n° (UE) 2016/679 du Parlement européen et du Conseil 27 avr. 2016, art. 9). Une interdiction également posée à l'article 8 de la loi n° 78-17 du 6 janvier 1978. 

Un principe qui connait des exceptions

Le RGPD et la loi « informatique et libertés » du 6 janvier 1978, prévoient toutefois un certain nombre d'exceptions à l'interdiction.  Ainsi le traitement de ce type de données, est notamment possible dans les cas suivants :

  • la personne concernée a donné son consentement explicite au traitement de ces données pour une ou plusieurs finalités spécifiques, sauf dans le cas où la loi prévoit que l'interdiction ne peut être levée par le consentement de la personne concernée ;
  • les traitements mis en oeuvre par l'employeur et les administrations sont conformes aux règlements types établis par la CNIL et sont strictement nécessaires au contrôle de l'accès aux lieux de travail ainsi qu'aux appareils et applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires.

Si une entreprise a recours à ce type de système elle devra pouvoir justifier que l'utilisation d'un système plus classique était impossible car insuffisant (accès par badge, vidéosurveillance).

En effet, d'après la CNIL, seul un impératif de sécurité incontestable peut justifier la constitution de base de données d'empreintes digitales.

Par un jugement du 19 avril 2005, le Tribunal de Grande Instance de Paris avait interdit la mise en place d'un système de pointage par empreintes digitales : Le tribunal avait estimé que l'utilisation d'un tel système qui met en cause le corps humain et porte atteinte aux libertés individuelles peut se justifier lorsqu'elle a une finalité sécuritaire ou protectrice de l'activité exercée dans des locaux identifiés.

En l'espèce, l'employeur avait pour seul objectif de contrôler la réalité du travail effectif réalisé par les salariés, ce qui pouvait être fait sans avoir recours à un procédé d'identification comportant des dangers d'atteinte aux libertés individuelles. Le TGI avait estimé que l'objectif poursuivi n'était pas de nature à justifier la constitution d'une base de données d'empreintes digitales du personnel, le traitement pris dans son ensemble n'apparaissant ni adapté ni proportionné au but recherché. (TGI Paris, 1re ch., sect. soc., 19 avr. 2005, n° 05/00382)

Une position également adoptée par la Cnil, qui depuis 2012, exclut l'utilisation de tout dispositif biométrique à des fins de gestion des horaires des salariés, sauf à démontrer l'existence de circonstances exceptionnelles fondées sur un impératif de sécurité. 

Elle a notamment décidé à propos d'un dispositif biométrique ayant pour finalité la gestion des horaires, que, ne justifiant pas de circonstances exceptionnelles imposant le recours à la biométrie, la société avait procédé à une collecte de données excessives au regard des finalités pour lesquelles elles étaient collectées. L’entreprise avait été condamnée au paiement d’une amende de 10.000 € (Délib. CNIL SAN-2018-009, 6 sept. 2018 : JO, 20 sept.).

Rappelons encore que des éléments de preuve récupérés par l’employeur à l’insu du salarié concerné, ou par des moyens illégaux, ne peuvent servir de preuve à l’appui d’une sanction, d’un licenciement et ne sont pas de nature à permettre de contrecarrer une demande en paiement d’heures supplémentaires.

Le règlement-type de la CNIL du 28 mars 2019

La CNIL a élaboré en mars 2019 un règlement type relatif à la mise en oeuvre de dispositifs ayant pour finalité le contrôle d’accès par authentification biométrique aux locaux, aux appareils et aux applications informatiques sur les lieux de travail.

Ce règlement précise comment encadrer les traitements de données biométriques dès lors qu’ils sont mis en place pour ce type de finalité. Il a un caractère contraignant.

Il s’inscrit pleinement dans la continuité des positions antérieures prises par la CNIL.

Il en résulte que les dispositifs biométriques ne sont autorisés sur le lieu de travail que dans deux objectifs :

1°) Le contrôle de l’accès à certains locaux qui doivent faire l’objet d’une restriction de circulation ;

2°) Le Contrôle de l’accès à certains appareils ou applications informatiques.

Dès lors le recours aux données biométriques pour le contrôle de la durée du travail des salariés est aujourd’hui prohibé. Mais pour combien de temps encore ?

Pour plus d'informations, n'hésitez pas à contacter le Cabinet Jean-Eymeric Blanc Avocats.

Retour


Contacter le Cabinet