Afin de contrôler et de suivre le temps de travail de ses salariés, une banque avait saisi la commission nationale de l'informatique et des libertés (CNIL) d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l'empreinte digitale.
Selon la banque, le dispositif biométrique présente l’avantage d’être simple d’utilisation en évitant le contrôle par badge ou identifiant.
Toutefois, selon la CNIL, une telle demande d’autorisation doit s’inscrire dans le cadre de circonstances exceptionnelles fondées sur un impératif spécifique de sécurité.
Car, selon la CNIL, une donnée biométrique constitue un élément d’identité irrévocable dont la diffusion non maîtrisée, ou accidentelle, peut avoir des conséquences irrémédiables pour les personnes.
La commission précise qu'il apparaît que l’empreinte digitale présente la caractéristique de pouvoir être capturée à l’insu des personnes concernées. Dès lors, il existe un risque sérieux de détournement de ces données, d’accès non autorisé aux données ou de mauvais usage des données biométriques personnelles des utilisateurs.
Concrètement, outre une possible faille de sécurité ou un détournement de finalité par le responsable de traitement ou un tiers, l’empreinte digitale pourrait être utilisée pour usurper l’identité d’une personne, notamment pour frauder un autre dispositif reposant sur la reconnaissance de l’empreinte digitale.
La CNIL se fonde sur les dispositions de l'article 1er de la loi du 6 janvier 1978 modifiée, pour rappeler que la mise en place d’un tel dispositif ne doit "porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques".
La CNIL a rappelé, en outre, les principes relatifs à la protection des données à caractère personnel, et notamment, les dispositions de l’article 6-3° de la loi du 6 janvier 1978 modifiée, qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
Ainsi, en l’espèce, la CNIL a constaté qu’aucune circonstance exceptionnelle n’est démontrée et que le dispositif biométrique de contrôle et du suivi du temps de travail des salariés ne résulte pas de la mise en œuvre de mesures de sécurité telles qu’identifiées par une analyse de risques.
La CNIL a considéré que le traitement envisagé ne relève pas d’une finalité de sécurité justifiant un recours impératif à la biométrie.
Par conséquent et au vu de ces éléments, la CNIL a considèré que le recours exclusif à un dispositif biométrique de reconnaissance de l’empreinte digitale n’apparait ni adapté ni proportionné à la finalité poursuivie au sens de l’article 6-3° précité.
Dans ces conditions, la CNIL a refusé à la banque de mettre en œuvre un traitement de données à caractère personnel reposant sur un dispositif biométrique de reconnaissance de l’empreinte digitale et ayant pour finalité le contrôle et le suivi du temps de travail.
(Délibération CNIL n°2015-087 du 5 mars 2015)
Dalila MADJID - Avocat au Barreau de Paris