Données biométriques en entreprise : tout n’est pas possible, la Cnil veille !

Cet article provient du site du syndicat de salariés CFDT

 

Une entreprise peut-elle contrôler les horaires de travail des salariés par un dispositif de pointage biométrique ? En principe non, nous rappelle la CNIL, sauf dans des circonstances très exceptionnelles. Dans la mesure où cela entrave les droits fondamentaux des salariés, la collecte des données biométriques fait l’objet d’un régime juridique très protecteur. CNIL, Délibération n°SAN-2018-009, 06.09.18. 

La CNIL (Commission nationale de l’informatique et des libertés) est l’autorité compétente en matière de protection des données personnelles. La loi Informatique et Libertés du 6 janvier 1978, modifiée par celle du 6 août 2004, régit les principes à respecter sur le traitement des données personnelles. Un règlement européen du 27 avril 2016 est venu harmoniser le traitement des données personnelles des citoyens en instaurant un régime juridique unifié au niveau européen. 

  • Faits

Une entreprise spécialisée dans la télésurveillance d’ascenseurs et de parkings a mis en place un dispositif de pointage biométrique (par recueil de l’empreinte digitale) dans le but de contrôler les horaires des salariés ainsi qu’un dispositif d’enregistrement des appels téléphoniques. 

En 2016, saisie d’une plainte, la CNIL a effectué un contrôle dans les locaux de l’entreprise. C’est ainsi qu’elle a pu constater qu’un dispositif de pointage biométrique à des fins de contrôle des horaires des salariés avait été installé sans son autorisation. Elle a également constaté que le dispositif d’enregistrement des appels téléphoniques avait été mis en place sans que les salariés n’en soient non plus informés ! 

  • Procédure

Constatant ces différents manquements, la présidente de la CNIL a alors mis l’entreprise en demeure de se mettre en conformité avec les dispositions de la loi Informatique et libertés, et par conséquent de cesser «d’utiliser le dispositif biométrique de contrôle des horaires des salariés» d’une part, et, d’autre part, de supprimer toutes les données collectées par ce dispositif dans un délai de 3 mois. 

Malgré ses nombreuses recommandations et les échanges qu’elle a eus avec l’entreprise, la CNIL a pu constater, lors d’un nouveau contrôle, que certains manquements persistaient. Parmi ces manquements, le boîtier biométrique n’avait toujours pas été désinstallé, certains salariés continuaient de l’utiliser et leurs données biométriques demeuraient donc conservées. 

Tirant les conséquences de ces manquements persistants la CNIL a condamné l’entreprise à une amende de 10 000 euros

  • Le principe d’interdiction d’un dispositif biométrique pour contrôler les horaires des salariés

La collecte de données biométriques relève d’un régime juridique très protecteur pour les salariés, puisque cela touche à leurs libertés individuelles. 

La CNIL nous précise que les données biométriques sont des données uniques. Elles permettent en effet d’identifier une personne « à partir de ses caractéristiques physiques ou biologiques ». Ainsi, lorsqu’une entreprise met en place un dispositif de contrôle qui collecte des données biométriques, celle-ci ne peut le faire sans respecter rigoureusement une procédure imposée par la loi Informatique et libertés. 

La CNIL rappelle dans sa décision que depuis 2012, la règle de principe vise à exclure l’utilisation de tout dispositif biométrique à des fins de gestion des horaires des salariés

Elle nous précise néanmoins que la mise en place d’un tel dispositif peut faire l’objet d’une autorisation préalable conformément à la loi Informatique et Libertés (1) à condition que le responsable du traitement démontre « qu’il existe des circonstances exceptionnelles fondées sur un impératif spécifique de sécurité». 

Or en l’espèce, la CNIL a constaté que l’entreprise en question ne justifiait «d’aucune circonstance exceptionnelle imposant le recours à la biométrie pour le contrôle des horaires des salariés». 

En conséquence, elle a estimé que la société avait « procédé à une collecte de données excessives au regard des finalités pour lesquelles elles étaient collectées ». 

  • Une décision protectrice des droits fondamentaux des salariés

La décision de la CNIL répond à une logique de protection des droits fondamentaux des salariés, et donc de leur vie privée. 

Rappelons que selon l’article L. 1121-1 du Code du travail, l’employeur ne peut apporter aux droits des salariés et à leurs libertés individuelles et collectives derestrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir, ni proportionnées au but recherché“. 

  • Une protection des données renforcée par la nouvelle réglementation européenne

Il faut savoir qu’un règlement européen sur la gestion de la protection des données a été adopté en avril 2016(2). Dans la foulée, une loi française du 20 juin 2018 est venue adapter le droit national à l’évolution de ces nouvelles dispositions européennes, en modifiant la loi Informatique et libertés de 1978. 

Désormais, selon le règlement européen de 2016 ,la récolte des données des salariés issues d’un dispositif biométrique en entreprise est interdit, sauf exceptions limitativement énumérées à l’article 9.2.b du règlement. Celui-ci énonce que le traitement des données biométrique n’est possible que s’il est nécessaire « aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou la personne concernée en matière de droit du travail […] dans la mesure où ce traitement est autorisé […] par le droit d’un Etat membre ou par une convention collective conclue […] qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêt de la personne concernée ». 


(1) Article 25, I, 8° de de la loi du 6.01.78 modifiée. 

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27.04.16 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), Texte présentant de l’intérêt pour l’EEE. 

Ajouter aux articles favoris
Please login to bookmark Close
0 Shares:
Vous pourriez aussi aimer

Négoce de l’ameublement : un accord de participation agréé par la ministre du travail

Un arrêté de la ministre du travail, daté du 24 juin 2025, porte agrément d’un accord conclu dans la convention collective du négoce de l’ameublement (IDCC 1880). Cet arrêté a été publié au Journal officiel du 27 juin 2025. Il s’agit de l’accord du 5 novembre 2024, tel que modifié par l'avenant n° 1 du 13 mai 2025, relatif à la participation dans la...

CNNCEFP : nomination d’un nouveau suppléant au sein de la sous-commission emploi-formation

Un arrêté de la ministre du travail, daté du 24 juin 2025 et publié au Journal officiel du 27 juin, modifie la composition de la Commission nationale de la négociation collective, de l’emploi et de la formation professionnelle (CNNCEFP) et de ses sous-commissions. Sur proposition de la FESAC, Florian Dutreuil est nommé en qualité de suppléant au sein de la sous-commission de l’emploi, de l’orientation et de la formation professionnelles, en remplacement de Jean-Yves...

EOFMT : la nouvelle répartition syndicale officialisée par arrêté

La convention collective nationale des salariés des établissements d’enseignement et organismes de formation aux métiers du territoire (EOFMT) (IDCC 7520) dispose désormais d’une liste actualisée de syndicats représentatifs. L’arrêté correspondant, signé par la ministre du travail, de la santé, des solidarités et des familles le 12 juin 2025, est paru au Journal officiel du 27 juin. ...