CNIL, délibération n° SAN-2018-009 du 6 septembre 2018
La Commission nationale de l’informatique et des libertés (Cnil) vient de rappeler qu’un employeur ne peut pas, sauf circonstances exceptionnelles fondées sur un impératif spécifique de sécurité, utiliser une technologie basée sur les informations biométriques de ses salariés pour gérer leurs horaires de travail.
Dans cette affaire, une société avait, sans autorisation de la Cnil, installé un dispositif de pointage visant à contrôler les horaires de ses salariés et fonctionnant avec leurs empreintes digitales. Après un contrôle dans l’entreprise, la Cnil l’avait mise en demeure de cesser d’utiliser ce système et d’effacer toutes les données collectées, et ce dans un délai de 3 mois. Or, plus de 8 mois plus tard et après plusieurs relances, la Cnil constatait, lors d’une seconde visite dans les locaux de la société, que celle-ci utilisait encore ce dispositif et que les données biométriques de ses salariés, enregistrées depuis près de 7 ans, n’avaient pas été supprimées.
Ce manque de réactivité de la part de l’entreprise a conduit la Cnil à lui imposer une amende de 10 000 €. De plus, la Cnil a publié cette décision sur son site et sur le site Légifrance afin « de sensibiliser les responsables de traitement aux droits et obligations issus de la loi Informatique et Libertés, en particulier, à l’importance de répondre aux demandes de la Présidente de la Commission et de mettre effectivement en œuvre les mesures requises ».
Et avec le RGPD ?
Selon le Règlement général sur la protection des données (RGPD), édicté au niveau européen et applicable depuis le 25 mai dernier en France, la mise en place, par les employeurs, de traitements utilisant des données biométriques est interdite. À titre d’exception, un contrôle d’accès biométrique peut être installé, à condition toutefois d’être conforme à un règlement type élaboré par la Cnil.
Ce règlement type, dont le projet est disponible sur le site de la Cnil, devrait être adopté sous peu. Comme avant, le recours aux dispositifs biométriques n’est permis que pour contrôler l’accès à l’entrée de l’entreprise et dans certains locaux devant faire l’objet d’une restriction de circulation ou pour gérer les accès à des appareils et applications informatiques professionnels. Et installer des systèmes biométriques pour contrôler les horaires ou le temps de travail des salariés est toujours interdit.