swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Utilisation des données biométriques des employés

Eva Cellina, le 30 mai 2021
L’autorité italienne de protec­tion des données (GPDP) inflige une amende de EUR 30’000.- pour l’uti­li­sa­tion d’un système de gestion du temps de présence basé sur le trai­te­ment des données biomé­triques des employés.

Garante per la prote­zione dei dati perso­nali (GPDP), Ordinanza ingiun­zione nei confronti di Azienda sani­ta­ria provin­ciale di Enna, 14 janvier 2021 [9542071]

L’auto­rité sani­taire de la province d’Enna (« ASP Enna »), en Sicile, avait adopté un système permet­tant le trai­te­ment des données biomé­triques de ses employés pour la détec­tion des présences. Il devait permettre une plus grande fiabi­lité tech­nique de véri­fi­ca­tion de l’identité avec comme objec­tif connexe de décou­ra­ger l’ab­sen­téisme de certains employés.

Grâce à son système, l’ASP Enna a obtenu les empreintes digi­tales de plus de 2’000 employés et les y a stockées de manière chif­frée sur le badge de chaque employé. L’ASP Enna procé­dait au contrôle d’iden­tité de chaque employé en compa­rant le modèle biomé­trique de réfé­rence et l’empreinte digi­tale présen­tée au moment de la détec­tion de la présence. Le numéro de l’employé, la date ainsi que l’heure de l’es­tam­pillage étaient alors trans­mis au système de gestion des présences.

Selon l’ASP Enna, aucun trai­te­ment de données person­nelles n’était effec­tué par elle dans la mesure où le trai­te­ment de données person­nelles ne commen­çait que lorsque l’employé, de par sa propre volonté, appo­sait son badge sur le lecteur et son doigt sur le scan­ner de l’ap­pa­reil. L’ASP Enna consi­dé­rait que le logi­ciel utilisé se limi­tait à compa­rer les deux données biomé­triques (celle stockée dans le badge et celle issue du scan de doigts), sans commu­ni­quer ces données à l’ex­té­rieur et sans les stocker d’au­cune manière (à l’ex­cep­tion de quelques secondes au sein même du système, le temps de la comparaison).

En tout état de cause, l’ASP Enna consi­dé­rait qu’un tel trai­te­ment repo­sait, confor­mé­ment à l’art. 6 RGPD, tant sur le consen­te­ment des employés (lorsque ces derniers utili­saient effec­ti­ve­ment ce système de contrôle) que sur une obli­ga­tion légale. Sur ce point, l’au­to­rité se réfé­rait au règle­ment d’ap­pli­ca­tion de la loi 56/​2019 rela­tif à la préven­tion de l’ab­sen­téisme des employés dans le secteur public.

Suite à son enquête, le GPDP consi­dère qu’il y a effec­ti­ve­ment un trai­te­ment de données biomé­triques des employés. Le fait que l’ASP Enna ne conserve pas les données biomé­triques dans une base de données centra­li­sée, mais sur des dispo­si­tifs portables (les cartes à puces déte­nues direc­te­ment pas les employés) n’est pas rele­vant. En effet, le GPDP consi­dère que la phase d’enregistrement des données biomé­triques des employés permet à l’ASP Enna d’enregistrer les descrip­tions biomé­triques afin de pouvoir, dans un deuxième temps, les compa­rer à l’empreinte digi­tale présen­tée par l’employé au moment de la détec­tion de présence dans la phase de recon­nais­sance. Ainsi, le GPDP consi­dère qu’il y a un trai­te­ment de données person­nelles tant dans la phase d’enregistrement que de reconnaissance.

Le stockage des données biomé­triques, en mode sécu­risé dans des badges avec système de carte à puce confié à chaque employé, répond à un choix du respon­sable du trai­te­ment qui, lors de la déter­mi­na­tion des moyens de trai­te­ment, adopte cette mesure tech­nique et orga­ni­sa­tion­nelle en appli­ca­tion, notam­ment, du prin­cipe de mini­mi­sa­tion des données trai­tées. Le GPDP rappelle cepen­dant que l’adop­tion de cette mesure n’ex­clut pas l’ap­pli­ca­tion des règles rela­tives à la protec­tion des données à carac­tère person­nel, notam­ment la mise en place de dispo­si­tifs moins invasifs.

Bien que l’ASP Enna ait assuré que les employés et les syndi­cats aient reçu les infor­ma­tions prévues à l’art. 13 RGPD, le GPDP consi­dère qu’elle n’a pas suffi­sam­ment et correc­te­ment informé les employés de l’ampleur du trai­te­ment effec­tué et du carac­tère licite de ce dernier.

Le GPDP admet qu’il existe effec­ti­ve­ment une base légale pour la détec­tion des présences et la véri­fi­ca­tion du temps de travail. Toutefois, il précise que ladite base légale doit offrir des garan­ties appro­priées concer­nant les droits et inté­rêts fonda­men­taux de la personne concer­née. En d’autres termes, le trai­te­ment des données biomé­triques à des fins d’en­re­gis­tre­ment du temps ne serait légi­time que s’il existe une base légale spéci­fique, qui offre à la personne concer­née des garan­ties en matière de respect de la vie privée, ce qui n’est pas le cas du règle­ment d’ap­pli­ca­tion de la loi 56/​2019 rela­tif à la préven­tion de l’ab­sen­téisme des employés dans le secteur public.

Le GPDP consi­dère ainsi que l’ASP Enna a violé les art. 5 par. 1 let. a, 6 et 9 RGPD en raison du fait qu’il n’y a pas de motif justi­fi­ca­tif adéquat pour le trai­te­ment des données biomé­triques des employés, que le consen­te­ment des employés ne peut pas être consi­déré comme vala­ble­ment donné en raison du déséqui­libre de la rela­tion de travail, et que l’ASP Enna n’avait pas fourni d’in­for­ma­tions adéquates sur le trai­te­ment des données biomé­triques des employés.

En sus de l’amende infli­gée, le GPDP a ordonné à l’ASP Enna de cesser d’uti­li­ser le système de trai­te­ment biomé­trique qu’elle avait mis en place.

Et en Suisse ?

Si les empreintes digi­tales permettent d’identifier une personne déter­mi­née ou déter­mi­nable, elles sont des données person­nelles sensibles,  dans la mesure où elles peuvent révé­ler notam­ment l’ap­par­te­nance raciale de la personne concer­née (art. 5 let. c ch. 2 LPD). Dans la nLPD, les données biomé­triques sont des données person­nelles sensibles lors­qu’elles permettent d’iden­ti­fier la personne concerne de manière univoque (art. 5 let. c ch. 4 nLPD).

L’employeur, respon­sable du trai­te­ment (maître du fichier) ne peut trai­ter ces données que s’il dispose d’un motif justi­fi­ca­tif (consen­te­ment, inté­rêt prépon­dé­rant privé ou public ou la loi : art. 13 al. 1 LPD) ou, s’il s’agit d’un organe fédé­ral, si le trai­te­ment est prévu dans une base légale. À défaut, le trai­te­ment portera une atteinte illi­cite à la person­na­lité des employés.

De plus, l’utilisation par l’employeur du consen­te­ment de l’employé comme motif justi­fi­ca­tif est très discu­table, de par l’existence d’un rapport de subor­di­na­tion entre l’employé et l’employeur, renforcé par la nature sensible des données traitées.

Pour une analyse juri­dique exhaus­tive et plus d’informations sur les mesures qui devraient être mises en place par l’employeur dans un tel cas, voir : Stéphanie Fuld /​ Stéphanie Chuffart-Finsterwald, Nexus droit du travail et protec­tion des données : quelques développements récents , in : Jusletter 12 juin 2017.

 



Proposition de citation : Eva Cellina, Utilisation des données biométriques des employés, 30 mai 2021 in www.swissprivacy.law/76


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Que signifie pour une personne concernée de rendre ses données personnelles « manifestement publiques » ?
  • La CNIL rappelle à l’ordre concernant le fichier automatisé des empreintes digitales (FAED)
  • Le RGPD s’oppose-t-il à l’obligation de publier sur Internet une déclaration d’intérêts afin de lutter contre…
  • Le droit d’accès à l’origine de ses données personnelles
Derniers articles
  • Contenu de l’information sur le licenciement d’un employé à l’interne
  • L’administration publique responsable dans l’utilisation de services en nuage
  • Une DPO peut-elle être licenciée pour une raison autre que celle liée à ses qualités professionnelles ?
  • La mise en place de mesures de sécurité techniques et organisationnelles : not just a checklist !
Abonnement à notre newsletter
swissprivacy.law