Garante per la prote­zione dei dati perso­nali (GPDP), Ordinanza ingiun­zione nei confronti di Azienda sani­ta­ria provin­ciale di Enna, 14 janvier 2021 [9542071]

L’auto­rité sani­taire de la province d’Enna (« ASP Enna »), en Sicile, avait adopté un système permet­tant le trai­te­ment des données biomé­triques de ses employés pour la détec­tion des présences. Il devait permettre une plus grande fiabi­lité tech­nique de véri­fi­ca­tion de l’identité avec comme objec­tif connexe de décou­ra­ger l’ab­sen­téisme de certains employés.

Grâce à son système, l’ASP Enna a obtenu les empreintes digi­tales de plus de 2’000 employés et les y a stockées de manière chif­frée sur le badge de chaque employé. L’ASP Enna procé­dait au contrôle d’iden­tité de chaque employé en compa­rant le modèle biomé­trique de réfé­rence et l’empreinte digi­tale présen­tée au moment de la détec­tion de la présence. Le numéro de l’employé, la date ainsi que l’heure de l’es­tam­pillage étaient alors trans­mis au système de gestion des présences.

Selon l’ASP Enna, aucun trai­te­ment de données person­nelles n’était effec­tué par elle dans la mesure où le trai­te­ment de données person­nelles ne commen­çait que lorsque l’employé, de par sa propre volonté, appo­sait son badge sur le lecteur et son doigt sur le scan­ner de l’ap­pa­reil. L’ASP Enna consi­dé­rait que le logi­ciel utilisé se limi­tait à compa­rer les deux données biomé­triques (celle stockée dans le badge et celle issue du scan de doigts), sans commu­ni­quer ces données à l’ex­té­rieur et sans les stocker d’au­cune manière (à l’ex­cep­tion de quelques secondes au sein même du système, le temps de la comparaison).

En tout état de cause, l’ASP Enna consi­dé­rait qu’un tel trai­te­ment repo­sait, confor­mé­ment à l’art. 6 RGPD, tant sur le consen­te­ment des employés (lorsque ces derniers utili­saient effec­ti­ve­ment ce système de contrôle) que sur une obli­ga­tion légale. Sur ce point, l’au­to­rité se réfé­rait au règle­ment d’ap­pli­ca­tion de la loi 56/​2019 rela­tif à la préven­tion de l’ab­sen­téisme des employés dans le secteur public.

Suite à son enquête, le GPDP consi­dère qu’il y a effec­ti­ve­ment un trai­te­ment de données biomé­triques des employés. Le fait que l’ASP Enna ne conserve pas les données biomé­triques dans une base de données centra­li­sée, mais sur des dispo­si­tifs portables (les cartes à puces déte­nues direc­te­ment pas les employés) n’est pas rele­vant. En effet, le GPDP consi­dère que la phase d’enregistrement des données biomé­triques des employés permet à l’ASP Enna d’enregistrer les descrip­tions biomé­triques afin de pouvoir, dans un deuxième temps, les compa­rer à l’empreinte digi­tale présen­tée par l’employé au moment de la détec­tion de présence dans la phase de recon­nais­sance. Ainsi, le GPDP consi­dère qu’il y a un trai­te­ment de données person­nelles tant dans la phase d’enregistrement que de reconnaissance.

Le stockage des données biomé­triques, en mode sécu­risé dans des badges avec système de carte à puce confié à chaque employé, répond à un choix du respon­sable du trai­te­ment qui, lors de la déter­mi­na­tion des moyens de trai­te­ment, adopte cette mesure tech­nique et orga­ni­sa­tion­nelle en appli­ca­tion, notam­ment, du prin­cipe de mini­mi­sa­tion des données trai­tées. Le GPDP rappelle cepen­dant que l’adop­tion de cette mesure n’ex­clut pas l’ap­pli­ca­tion des règles rela­tives à la protec­tion des données à carac­tère person­nel, notam­ment la mise en place de dispo­si­tifs moins invasifs.

Bien que l’ASP Enna ait assuré que les employés et les syndi­cats aient reçu les infor­ma­tions prévues à l’art. 13 RGPD, le GPDP consi­dère qu’elle n’a pas suffi­sam­ment et correc­te­ment informé les employés de l’ampleur du trai­te­ment effec­tué et du carac­tère licite de ce dernier.

Le GPDP admet qu’il existe effec­ti­ve­ment une base légale pour la détec­tion des présences et la véri­fi­ca­tion du temps de travail. Toutefois, il précise que ladite base légale doit offrir des garan­ties appro­priées concer­nant les droits et inté­rêts fonda­men­taux de la personne concer­née. En d’autres termes, le trai­te­ment des données biomé­triques à des fins d’en­re­gis­tre­ment du temps ne serait légi­time que s’il existe une base légale spéci­fique, qui offre à la personne concer­née des garan­ties en matière de respect de la vie privée, ce qui n’est pas le cas du règle­ment d’ap­pli­ca­tion de la loi 56/​2019 rela­tif à la préven­tion de l’ab­sen­téisme des employés dans le secteur public.

Le GPDP consi­dère ainsi que l’ASP Enna a violé les art. 5 par. 1 let. a, 6 et 9 RGPD en raison du fait qu’il n’y a pas de motif justi­fi­ca­tif adéquat pour le trai­te­ment des données biomé­triques des employés, que le consen­te­ment des employés ne peut pas être consi­déré comme vala­ble­ment donné en raison du déséqui­libre de la rela­tion de travail, et que l’ASP Enna n’avait pas fourni d’in­for­ma­tions adéquates sur le trai­te­ment des données biomé­triques des employés.

En sus de l’amende infli­gée, le GPDP a ordonné à l’ASP Enna de cesser d’uti­li­ser le système de trai­te­ment biomé­trique qu’elle avait mis en place.

Et en Suisse ?

Si les empreintes digi­tales permettent d’identifier une personne déter­mi­née ou déter­mi­nable, elles sont des données person­nelles sensibles,  dans la mesure où elles peuvent révé­ler notam­ment l’ap­par­te­nance raciale de la personne concer­née (art. 5 let. c ch. 2 LPD). Dans la nLPD, les données biomé­triques sont des données person­nelles sensibles lors­qu’elles permettent d’iden­ti­fier la personne concerne de manière univoque (art. 5 let. c ch. 4 nLPD).

L’employeur, respon­sable du trai­te­ment (maître du fichier) ne peut trai­ter ces données que s’il dispose d’un motif justi­fi­ca­tif (consen­te­ment, inté­rêt prépon­dé­rant privé ou public ou la loi : art. 13 al. 1 LPD) ou, s’il s’agit d’un organe fédé­ral, si le trai­te­ment est prévu dans une base légale. À défaut, le trai­te­ment portera une atteinte illi­cite à la person­na­lité des employés.

De plus, l’utilisation par l’employeur du consen­te­ment de l’employé comme motif justi­fi­ca­tif est très discu­table, de par l’existence d’un rapport de subor­di­na­tion entre l’employé et l’employeur, renforcé par la nature sensible des données traitées.

Pour une analyse juri­dique exhaus­tive et plus d’informations sur les mesures qui devraient être mises en place par l’employeur dans un tel cas, voir : Stéphanie Fuld /​ Stéphanie Chuffart-Finsterwald, Nexus droit du travail et protec­tion des données : quelques développements récents , in : Jusletter 12 juin 2017.