Biométrie au travail et RGPD : limites et alternatives

·

Le pointage ou le contrôle d'accès biométrique constitue un traitement de catégorie particulière dès lors qu'il utilise l'empreinte digitale, le visage ou un autre trait pour identifier une personne de façon univoque. L'obligation d'enregistrer le temps de travail n'autorise pas automatiquement le recours à la biométrie. L'entreprise doit disposer d'une base au titre de l'article 6, d'une exception au titre de l'article 9, réussir les tests de nécessité et de proportionnalité, réaliser une AIPD et démontrer que les alternatives moins intrusives ne permettent pas d'atteindre la finalité poursuivie.

Qu'est-ce qu'une donnée biométrique

Le RGPD définit les données biométriques comme celles résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique.

Une photographie n'est pas toujours une donnée biométrique ; elle le devient lorsqu'elle est traitée pour identifier quelqu'un de façon univoque. Un gabarit biométrique reste une donnée de catégorie particulière même s'il ne peut être reconverti en image.

Pointage : obligation et moyen

Le Statut des travailleurs (Estatuto de los Trabajadores) oblige à enregistrer le temps de travail, mais n'impose pas le recours à l'empreinte digitale ou à la reconnaissance faciale. Des alternatives telles que la carte, le code PIN, l'application mobile, la signature ou des dispositifs organisationnels doivent être évaluées.

La question pertinente n'est pas de savoir si la biométrie est pratique, mais si elle est strictement nécessaire et proportionnée par rapport à ces alternatives.

Une double base juridique

Pour traiter des données biométriques à des fins d'identification, deux fondements simultanés sont nécessaires :

  1. une base au titre de l'article 6 du RGPD ;
  2. une exception au titre de l'article 9.2 pour le traitement de catégories particulières de données.

Le consentement dans le cadre professionnel est souvent problématique en raison du déséquilibre entre l'employeur et le salarié, et parce que le refus doit être réellement libre et ne peut entraîner aucune conséquence. L'AEPD (autorité espagnole de protection des données) applique un critère restrictif en la matière.

Une obligation générale de pointer ne constitue pas, à elle seule, un fondement juridique spécifique pour traiter des données biométriques.

Adéquation, nécessité et proportionnalité

Adéquation

Le système permet-il d'enregistrer la présence de façon effective ?

Nécessité

Existe-t-il une alternative tout aussi efficace et moins intrusive ?

Proportionnalité

Le bénéfice obtenu compense-t-il l'impact, compte tenu du risque d'irréversibilité et de surveillance ?

Si l'un de ces trois critères n'est pas rempli, le système biométrique ne doit pas être mis en place.

Analyse d'impact (AIPD)

Le guide de l'AEPD considère ce traitement comme à haut risque et exige une analyse d'impact préalable. Elle doit comprendre :

L'AIPD est réalisée avant l'achat ou le déploiement du système, et non pour justifier a posteriori une décision déjà prise.

Identification face à vérification

Choisir le modèle 1:1 ne supprime ni le statut de catégorie particulière ni les obligations légales, mais peut s'avérer moins intrusif.

Architecture et stockage

Si le traitement s'avérait légitime, il conviendrait de privilégier :

Une base centrale de gabarits biométriques augmente considérablement l'impact en cas d'incident.

Risques

Un mot de passe peut être changé ; un trait biométrique, non, pas facilement.

Ce qu'il faut vérifier chez le prestataire

Il convient de vérifier :

Une mention générique « conforme au RGPD » ne doit pas être acceptée comme preuve suffisante.

Exactitude et discrimination

Il est nécessaire de tester les taux de faux acceptés et de faux rejetés sur une population réelle, dans différentes conditions de lumière, d'humidité, d'âge, de handicap ou de travail physique.

Une alternative opérationnelle immédiate doit exister pour toute personne ne pouvant pas utiliser le système biométrique. Cette alternative ne doit pas stigmatiser celui qui l'utilise.

Information et droits

Il faut informer sur :

Le droit d'opposition ou d'effacement peut être limité selon la base appliquée, mais une procédure pour l'exercer doit exister dans tous les cas.

Conservation

Les gabarits biométriques sont supprimés à la fin du besoin qui les justifiait ou de la relation de travail, sauf si une base spécifique justifie leur conservation. Les registres horaires ont leur propre durée de conservation ; le gabarit biométrique n'est pas automatiquement conservé pendant la même période.

Les sauvegardes doivent inclure des mécanismes d'effacement ou d'expiration.

Sécurité

En cas de violation de sécurité, il faut évaluer l'impact particulier de la donnée biométrique concernée et la possibilité de révoquer les gabarits compromis.

Sous-traitance et agences d'intérim

Il faut définir clairement qui est responsable du traitement entre l'entreprise, l'agence d'intérim et le prestataire technologique. La base biométrique n'est pas partagée sans besoin justifié ni sans l'accord correspondant. L'entreprise principale n'obtient pas d'accès général à ces données par simple commodité.

Matrice des alternatives

AlternativeIntrusionRisque de partageCoût
CarteFaiblePeut être prêtéeFaible
Code PINFaiblePeut être partagéFaible
AppliMoyenneSelon l'appareilMoyen
SuperviseurVariableErreur humaineMoyen
BiométrieÉlevéeDifficile à prêterRisque élevé

Une fraude occasionnelle ne justifie pas automatiquement le recours à la biométrie : elle doit être quantifiée et des contrôles moins intrusifs doivent être testés au préalable.

Plan de décision

  1. Définir le problème.
  2. Mesurer la fraude ou le risque réel.
  3. Évaluer les alternatives.
  4. Analyser les bases juridiques.
  5. Réaliser l'AIPD.
  6. Consulter le DPO et les représentants du personnel.
  7. Mener un pilote technique le cas échéant.
  8. Prendre la décision et la réviser périodiquement.

Erreurs fréquentes

  1. Confondre l'obligation de pointer avec une autorisation d'utiliser la biométrie.
  2. Se fonder sur le consentement du salarié.
  3. Acheter le système avant de réaliser l'AIPD.
  4. Ne pas évaluer les alternatives.
  5. Centraliser les gabarits sans nécessité.
  6. Ne pas tester les faux rejets.
  7. Conserver les données après le départ du salarié.
  8. Ne pas proposer d'alternative.
  9. Réutiliser le système pour le contrôle d'accès ou de productivité.
  10. Faire aveuglément confiance au prestataire.

Liste de vérification

Questions fréquentes

Toute biométrie au travail est-elle illégale ?

On ne peut pas l'affirmer de façon absolue, mais le critère de l'AEPD est très restrictif et exige un fondement juridique strict et une nécessité stricte.

Le consentement suffit-il ?

Il est généralement problématique dans le cadre professionnel en raison du déséquilibre entre les parties, et il ne remplace pas l'exigence de nécessité.

Un gabarit non réversible cesse-t-il d'être une donnée biométrique ?

Non. Il reste une donnée biométrique s'il est utilisé pour identifier une personne de façon unique.

Faut-il toujours réaliser une AIPD ?

L'AEPD considère ces traitements comme à haut risque et exige une analyse d'impact préalable.

Summum Consultoría peut analyser l'alternative choisie, la base juridique, l'AIPD, le prestataire et les mesures de sécurité nécessaires pour votre entreprise.