Le recours à un système de pointage par empreinte digitale doit respecter le RGPD

Contexte

Une entreprise recourt à l’empreinte digitale des travailleurs pour l’enregistrement de leur temps de travail. Le fournisseur est localisé au Japon.

Un travailleur conteste l’utilisation du système, qui impliquerait un traitement non conforme au RGPD. Il craint, également, un transfert illicite de ses données vers le Japon. Il saisit l’Autorité de protection des données d’une plainte.

Décision

Tout d’abord, l’APD rappelle que l’empreinte digitale relève d’une catégorie particulière de données : il s’agit d’une donnée biométrique, qui permet d’identifier une personne de manière unique. Son traitement implique des risques élevés. Dès lors, le responsable de traitement doit se fonder sur l’une base de licéité et l’un des motifs d’exception visés à l’article 9.2 du RGPD.

S’agissant de la base de licéité, c’est à tort que l’entreprise se fondait sur le consentement des travailleurs. En effet :

• Le consentement n’était pas éclairé : une brochure de bienvenue, distribuée aux nouveaux travailleurs, faisait référence au traitement des empreintes digitales. Ce document ne fournissait toutefois pas les informations nécessaires et suffisantes ;
• Le consentement n’était pas explicite : la signature « pour réception » de la brochure ne permet pas de déduire un consentement, de même que l’absence de protestation quant à l’utilisation du système ;
• Le consentement n’était pas libre : un travailleur est peu susceptible de s’opposer à une obligation de l’employeur. Or, en l’espèce, les travailleurs avaient l’obligation d’enregistrer leur temps de travail et s’exposaient, à défaut, à des sanctions.

S’agissant des finalités de traitement,l’APD relève que l’employeur n’avait pas déterminé celles-ci de manière complète, ni en temps utiles. En outre, le principe de finalité n’est pas rencontré dès lors que le traitement ne repose sur aucune base de licéité valable.

S’agissant du principe de minimisation, l’APD souligne qu’il existe une multitude de manières d’enregistrer le temps de travail, sans que des données biométriques ne soient impliquées. L’employeur fait valoir le « niveau d’exigence » en matière de sécurité de ses clients. Selon l’APD, certes, l’utilisation des empreintes digitales peut être pertinente pour assurer une sécurité particulièrement importante. Toutefois, ce niveau de sécurité ne se justifie qu’exceptionnellement, par exemple pour la manipulation de denrées alimentaires ou de substances chimiques.

S’agissant de la sous-traitance, s’il est fait appel à un sous-traitant non-membre de l’UE, il faut s’assurer qu’il offre des garanties suffisantes.

En l’espèce, l’employeur et le fournisseur avaient échangé plusieurs documents, en ce compris leur politique de confidentialité, avant de conclure un accord de traitement des données. L’employeur avait donc pris les mesures nécessaires.

Au terme de sa décision, l’APD condamne l’entreprise à une amende de 45.000 EUR.

Pour fixer la hauteur de la sanction, la gravité des infractions et le chiffre d’affaires de l’entreprise sont pris en considération. A l’opposé, les circonstances atténuantes suivantes sont également retenues : absence de plainte antérieure et collaboration de l’entreprise avec l’autorité.

Que retenir ?

Instaurer un système d’enregistrement du temps de travail sur la base des données biométriques des travailleurs peut être contraire au RGPD.

Les données biométriques ne sont susceptibles d’être traitées que sous des conditions strictes. La chambre contentieuse le rappelle à l’occasion d’une décision sanctionnée d’une lourde peine d’amende.

Source : APD, décision n°114/2024 du 6 septembre 2024, disponible sur www.autoriteprotectiondonnees.be.