Que sont exactement les donnees biometriques ?

Les donnees biometriques sont des caracteristiques physiques, physiologiques ou comportementales permettant d'identifier une personne de maniere unique. Les empreintes digitales, la reconnaissance faciale, les scans de l'iris et la reconnaissance vocale sont tous des donnees biometriques.

Puis-je utiliser les empreintes digitales si tous mes employes sont d'accord ?

En theorie, le consentement peut constituer une base juridique, mais dans une relation de travail, il est rarement 'libre' en raison du desequilibre de pouvoir. Les autorites de controle acceptent donc rarement le consentement comme base valable pour le traitement biometrique en milieu professionnel.

Existe-t-il des situations ou le suivi biometrique du temps est autorise ?

Dans des situations tres specifiques, comme les environnements de haute securite ou les exigences legales, cela peut etre justifie. Mais pour le suivi du temps ordinaire, des alternatives moins intrusives existent presque toujours. Une AIPD est obligatoire dans tous les cas.

Empreintes digitales au travail - Est-ce autorise par le RGPD ?

De plus en plus d'entreprises envisagent des systemes biometriques pour le suivi du temps. Mais les empreintes digitales sont des donnees sensibles au sens du RGPD. Est-ce autorise, et sous quelles conditions ?

Donnees biometriques : la categorie la plus stricte

Les empreintes digitales sont des donnees biometriques. Sous le RGPD, elles relevent des “categories particulieres de donnees a caractere personnel”, aux cotes des donnees de sante, des convictions religieuses et de l’origine ethnique. Le traitement de ces donnees est interdit, sauf si une exception specifique s’applique.

Le seuil pour utiliser des empreintes digitales pour quelque chose d’aussi courant que l’enregistrement des presences est donc extremement eleve.

Pourquoi le consentement ne fonctionne generalement pas

L’exception la plus evidente est le “consentement explicite”. Mais dans une relation de travail, le consentement est problematique. Le RGPD exige que le consentement soit donne librement, ce qui signifie que la personne doit pouvoir refuser sans consequences negatives.

Dans une relation employeur-employe, cette liberte existe rarement. Un employe qui refuse de fournir ses empreintes digitales peut craindre des consequences pour sa position. Les autorites de controle de plusieurs pays de l’UE ont juge que le consentement en contexte professionnel n’est pas une base valable pour le traitement biometrique.

Jurisprudence

Aux Pays-Bas, le tribunal d’Amsterdam a juge en 2019 qu’un employeur ne pouvait pas imposer un systeme d’empreintes digitales pour le suivi du temps. Le tribunal a estime que des alternatives moins intrusives existaient (badges, codes PIN) et que le traitement biometrique n’etait pas proportionnel.

Ce jugement pose un principe clair : si une alternative atteint le meme objectif sans donnees biometriques, le scan d’empreintes n’est pas autorise.

Quand cela peut etre autorise

Il existe des situations ou le controle d’acces biometrique peut etre justifie :

Environnements de haute securite - centres de donnees, laboratoires, installations militaires
Exigences legales - lorsque la legislation impose l’identification biometrique
Securite essentielle - lorsqu’aucune alternative n’offre un niveau de securite comparable

Meme dans ces cas, une analyse d’impact relative a la protection des donnees (AIPD) est obligatoire, et vous devez demontrer que le traitement est necessaire et proportionnel.

Alternatives efficaces

Pour la grande majorite des entreprises, des alternatives suffisantes existent :

Badges ou cartes d’acces - simples, abordables et respectueux de la vie privee
Codes PIN - aucune donnee biometrique impliquee
Systemes de pointage numeriques - connexion via une application ou un ordinateur
Combinaisons - badge plus code PIN pour plus de securite

Ces alternatives atteignent le meme objectif sans les risques juridiques du traitement biometrique.

Et si vous utilisez deja un systeme d’empreintes ?

Si vous utilisez deja un systeme biometrique pour le suivi du temps, evaluez si vous disposez d’une base juridique valable. Si ce n’est pas le cas, passez a une alternative. Supprimez les donnees biometriques stockees et documentez le changement.

auto_awesome Documentez correctement vos traitements

GDPRWise vous aide a documenter toutes vos activites de traitement, y compris la base juridique et l'evaluation de la necessite.

Lancez votre scan gratuit