Dispositif biométrique de reconnaissance de l'empreinte digitale et contrôle du temps de travail

Publié le Modifié le 19/09/2017 Vu 1 703 fois 0
Légavox

9 rue Léopold Sédar Senghor

14460 Colombelles

02.61.53.08.01

Afin de contrôler et de suivre le temps de travail de ses salariés, une banque avait saisi la commission nationale de l'informatique et des libertés (CNIL) d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l'empreinte digitale.

Afin de contrôler et de suivre le temps de travail de ses salariés, une banque avait saisi la commission nat

Dispositif biométrique de reconnaissance de l'empreinte digitale et contrôle du temps de travail

Afin de contrôler et de suivre le temps de travail de ses salariés, une banque avait saisi la commission nationale de l'informatique et des libertés (CNIL) d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l'empreinte digitale.

Selon la banque, le dispositif biométrique présente l’avantage d’être simple d’utilisation en évitant le contrôle par badge ou identifiant.

Toutefois, selon la CNIL, une telle demande d’autorisation doit s’inscrire dans le cadre de circonstances exceptionnelles fondées sur un impératif spécifique de sécurité.

Car, selon la CNIL, une donnée biométrique constitue un élément d’identité irrévocable dont la diffusion non maîtrisée, ou accidentelle, peut avoir des conséquences irrémédiables pour les personnes.

La commission précise qu'il apparaît que l’empreinte digitale présente la caractéristique de pouvoir être capturée à l’insu des personnes concernées. Dès lors, il existe un risque sérieux de détournement de ces données, d’accès non autorisé aux données ou de mauvais usage des données biométriques personnelles des utilisateurs.

Concrètement, outre une possible faille de sécurité ou un détournement de finalité par le responsable de traitement ou un tiers, l’empreinte digitale pourrait être utilisée pour usurper l’identité d’une personne, notamment pour frauder un autre dispositif reposant sur la reconnaissance de l’empreinte digitale.

La CNIL se fonde sur les dispositions de l'article 1er de la loi du 6 janvier 1978 modifiée, pour rappeler que la mise en place d’un tel dispositif ne doit "porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques".

La CNIL a rappelé, en outre, les principes relatifs à la protection des données à caractère personnel, et notamment, les dispositions de l’article 6-3° de la loi du 6 janvier 1978 modifiée, qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Ainsi, en l’espèce, la CNIL a constaté qu’aucune circonstance exceptionnelle n’est démontrée et que le dispositif biométrique de contrôle et du suivi du temps de travail des salariés ne résulte pas de la mise en œuvre de mesures de sécurité telles qu’identifiées par une analyse de risques.

La CNIL a considéré que le traitement envisagé ne relève pas d’une finalité de sécurité justifiant un recours impératif à la biométrie.

Par conséquent et au vu de ces éléments, la CNIL a considèré que le recours exclusif à un dispositif biométrique de reconnaissance de l’empreinte digitale n’apparait ni adapté ni proportionné à la finalité poursuivie au sens de l’article 6-3° précité.

Dans ces conditions, la CNIL a refusé à la banque de mettre en œuvre un traitement de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail.

(Délibération CNIL n°2015-087 du 5 mars 2015)

Dalila MADJID - Avocat au Barreau de Paris

Blog: https://dalilamadjid.blog

Vous avez une question ?

Posez gratuitement toutes vos questions sur notre forum juridique. Nos bénévoles vous répondent directement en ligne.

Publier un commentaire
Votre commentaire :
Inscription express :

Le présent formulaire d’inscription vous permet de vous inscrire sur le site. La base légale de ce traitement est l’exécution d’une relation contractuelle (article 6.1.b du RGPD). Les destinataires des données sont le responsable de traitement, le service client et le service technique en charge de l’administration du service, le sous-traitant Scalingo gérant le serveur web, ainsi que toute personne légalement autorisée. Le formulaire d’inscription est hébergé sur un serveur hébergé par Scalingo, basé en France et offrant des clauses de protection conformes au RGPD. Les données collectées sont conservées jusqu’à ce que l’Internaute en sollicite la suppression, étant entendu que vous pouvez demander la suppression de vos données et retirer votre consentement à tout moment. Vous disposez également d’un droit d’accès, de rectification ou de limitation du traitement relatif à vos données à caractère personnel, ainsi que d’un droit à la portabilité de vos données. Vous pouvez exercer ces droits auprès du délégué à la protection des données de LÉGAVOX qui exerce au siège social de LÉGAVOX et est joignable à l’adresse mail suivante : donneespersonnelles@legavox.fr. Le responsable de traitement est la société LÉGAVOX, sis 9 rue Léopold Sédar Senghor, joignable à l’adresse mail : responsabledetraitement@legavox.fr. Vous avez également le droit d’introduire une réclamation auprès d’une autorité de contrôle.