Le pointage ou le contrôle d'accès biométrique constitue un traitement de catégorie particulière dès lors qu'il utilise l'empreinte digitale, le visage ou un autre trait pour identifier une personne de façon univoque. L'obligation d'enregistrer le temps de travail n'autorise pas automatiquement le recours à la biométrie. L'entreprise doit disposer d'une base au titre de l'article 6, d'une exception au titre de l'article 9, réussir les tests de nécessité et de proportionnalité, réaliser une AIPD et démontrer que les alternatives moins intrusives ne permettent pas d'atteindre la finalité poursuivie.
Qu'est-ce qu'une donnée biométrique
Le RGPD définit les données biométriques comme celles résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique.
Une photographie n'est pas toujours une donnée biométrique ; elle le devient lorsqu'elle est traitée pour identifier quelqu'un de façon univoque. Un gabarit biométrique reste une donnée de catégorie particulière même s'il ne peut être reconverti en image.
Pointage : obligation et moyen
Le Statut des travailleurs (Estatuto de los Trabajadores) oblige à enregistrer le temps de travail, mais n'impose pas le recours à l'empreinte digitale ou à la reconnaissance faciale. Des alternatives telles que la carte, le code PIN, l'application mobile, la signature ou des dispositifs organisationnels doivent être évaluées.
La question pertinente n'est pas de savoir si la biométrie est pratique, mais si elle est strictement nécessaire et proportionnée par rapport à ces alternatives.
Une double base juridique
Pour traiter des données biométriques à des fins d'identification, deux fondements simultanés sont nécessaires :
- une base au titre de l'article 6 du RGPD ;
- une exception au titre de l'article 9.2 pour le traitement de catégories particulières de données.
Le consentement dans le cadre professionnel est souvent problématique en raison du déséquilibre entre l'employeur et le salarié, et parce que le refus doit être réellement libre et ne peut entraîner aucune conséquence. L'AEPD (autorité espagnole de protection des données) applique un critère restrictif en la matière.
Une obligation générale de pointer ne constitue pas, à elle seule, un fondement juridique spécifique pour traiter des données biométriques.
Adéquation, nécessité et proportionnalité
Adéquation
Le système permet-il d'enregistrer la présence de façon effective ?
Nécessité
Existe-t-il une alternative tout aussi efficace et moins intrusive ?
Proportionnalité
Le bénéfice obtenu compense-t-il l'impact, compte tenu du risque d'irréversibilité et de surveillance ?
Si l'un de ces trois critères n'est pas rempli, le système biométrique ne doit pas être mis en place.
Analyse d'impact (AIPD)
Le guide de l'AEPD considère ce traitement comme à haut risque et exige une analyse d'impact préalable. Elle doit comprendre :
- la finalité ;
- la population concernée ;
- la technologie utilisée ;
- la base et l'exception applicables ;
- les alternatives envisagées ;
- les risques identifiés ;
- les mesures adoptées ;
- le risque résiduel ;
- la consultation du DPO ;
- la décision finale.
L'AIPD est réalisée avant l'achat ou le déploiement du système, et non pour justifier a posteriori une décision déjà prise.
Identification face à vérification
- Identification 1:N : compare la donnée biométrique à l'ensemble de la base de données ; elle implique un risque plus élevé.
- Vérification 1:1 : confirme la donnée par rapport à la référence associée à une personne précise ; elle peut réduire l'exposition.
Choisir le modèle 1:1 ne supprime ni le statut de catégorie particulière ni les obligations légales, mais peut s'avérer moins intrusif.
Architecture et stockage
Si le traitement s'avérait légitime, il conviendrait de privilégier :
- le gabarit sous le contrôle de la personne ou de l'appareil ;
- le stockage décentralisé ;
- le chiffrement ;
- l'impossibilité de reconstitution ;
- la séparation des identifiants ;
- des clés maîtrisées ;
- une conservation minimale ;
- un effacement vérifiable.
Une base centrale de gabarits biométriques augmente considérablement l'impact en cas d'incident.
Risques
- usurpation d'identité ;
- vol d'un gabarit irréversible ;
- utilisation à une fin secondaire ;
- surveillance ;
- discrimination ;
- faux rejets ;
- exclusion de certaines personnes ;
- réutilisation des données ;
- accès indu du prestataire ;
- violation massive.
Un mot de passe peut être changé ; un trait biométrique, non, pas facilement.
Ce qu'il faut vérifier chez le prestataire
Il convient de vérifier :
- l'algorithme et son taux d'erreur ;
- les mécanismes de détection de présentation et anti-spoofing ;
- le stockage ;
- le gabarit généré ;
- la gestion des clés ;
- les sous-traitants ultérieurs ;
- les mises à jour ;
- la possibilité d'exportation ;
- l'effacement ;
- la gestion des incidents ;
- les transferts internationaux.
Une mention générique « conforme au RGPD » ne doit pas être acceptée comme preuve suffisante.
Exactitude et discrimination
Il est nécessaire de tester les taux de faux acceptés et de faux rejetés sur une population réelle, dans différentes conditions de lumière, d'humidité, d'âge, de handicap ou de travail physique.
Une alternative opérationnelle immédiate doit exister pour toute personne ne pouvant pas utiliser le système biométrique. Cette alternative ne doit pas stigmatiser celui qui l'utilise.
Information et droits
Il faut informer sur :
- la finalité ;
- la base et l'exception appliquées ;
- la technologie utilisée ;
- les données traitées ;
- la durée de conservation ;
- le prestataire ;
- les droits disponibles ;
- l'alternative existante ;
- les coordonnées du DPO.
Le droit d'opposition ou d'effacement peut être limité selon la base appliquée, mais une procédure pour l'exercer doit exister dans tous les cas.
Conservation
Les gabarits biométriques sont supprimés à la fin du besoin qui les justifiait ou de la relation de travail, sauf si une base spécifique justifie leur conservation. Les registres horaires ont leur propre durée de conservation ; le gabarit biométrique n'est pas automatiquement conservé pendant la même période.
Les sauvegardes doivent inclure des mécanismes d'effacement ou d'expiration.
Sécurité
- chiffrement ;
- séparation des données ;
- authentification multifacteur pour les administrateurs ;
- journaux d'activité ;
- principe du moindre privilège ;
- tests périodiques ;
- application des correctifs ;
- mesures anti-spoofing ;
- plan de réponse aux violations ;
- interdiction de réutiliser les données.
En cas de violation de sécurité, il faut évaluer l'impact particulier de la donnée biométrique concernée et la possibilité de révoquer les gabarits compromis.
Sous-traitance et agences d'intérim
Il faut définir clairement qui est responsable du traitement entre l'entreprise, l'agence d'intérim et le prestataire technologique. La base biométrique n'est pas partagée sans besoin justifié ni sans l'accord correspondant. L'entreprise principale n'obtient pas d'accès général à ces données par simple commodité.
Matrice des alternatives
| Alternative | Intrusion | Risque de partage | Coût |
|---|---|---|---|
| Carte | Faible | Peut être prêtée | Faible |
| Code PIN | Faible | Peut être partagé | Faible |
| Appli | Moyenne | Selon l'appareil | Moyen |
| Superviseur | Variable | Erreur humaine | Moyen |
| Biométrie | Élevée | Difficile à prêter | Risque élevé |
Une fraude occasionnelle ne justifie pas automatiquement le recours à la biométrie : elle doit être quantifiée et des contrôles moins intrusifs doivent être testés au préalable.
Plan de décision
- Définir le problème.
- Mesurer la fraude ou le risque réel.
- Évaluer les alternatives.
- Analyser les bases juridiques.
- Réaliser l'AIPD.
- Consulter le DPO et les représentants du personnel.
- Mener un pilote technique le cas échéant.
- Prendre la décision et la réviser périodiquement.
Erreurs fréquentes
- Confondre l'obligation de pointer avec une autorisation d'utiliser la biométrie.
- Se fonder sur le consentement du salarié.
- Acheter le système avant de réaliser l'AIPD.
- Ne pas évaluer les alternatives.
- Centraliser les gabarits sans nécessité.
- Ne pas tester les faux rejets.
- Conserver les données après le départ du salarié.
- Ne pas proposer d'alternative.
- Réutiliser le système pour le contrôle d'accès ou de productivité.
- Faire aveuglément confiance au prestataire.
Liste de vérification
- Finalité précise définie.
- Bases des articles 6 et 9 analysées.
- Alternatives évaluées.
- Nécessité et proportionnalité appréciées.
- AIPD réalisée.
- DPO et représentants du personnel consultés.
- Architecture d'exposition minimale appliquée.
- Exactitude et accessibilité vérifiées.
- Information et droits garantis.
- Procédure d'effacement et de réponse aux violations définie.
Questions fréquentes
Toute biométrie au travail est-elle illégale ?
On ne peut pas l'affirmer de façon absolue, mais le critère de l'AEPD est très restrictif et exige un fondement juridique strict et une nécessité stricte.
Le consentement suffit-il ?
Il est généralement problématique dans le cadre professionnel en raison du déséquilibre entre les parties, et il ne remplace pas l'exigence de nécessité.
Un gabarit non réversible cesse-t-il d'être une donnée biométrique ?
Non. Il reste une donnée biométrique s'il est utilisé pour identifier une personne de façon unique.
Faut-il toujours réaliser une AIPD ?
L'AEPD considère ces traitements comme à haut risque et exige une analyse d'impact préalable.
Summum Consultoría peut analyser l'alternative choisie, la base juridique, l'AIPD, le prestataire et les mesures de sécurité nécessaires pour votre entreprise.