
Sous certaines conditions, une entreprise a le droit d'utiliser la biométrie vis-à-vis de ses salariés. Il s'agit de technologies informatiques qui permettent de reconnaître automatiquement une personne à partir de certaines caractéristiques physiques, biologiques, génétiques ou comportementales. Par exemple, il s'agira d'une reconnaissance faciale, ou par la voix, ou par les empreintes digitales, ou par certaines parties de l'œil.
Ces pratiques étant amenées à se développer, il est important de faire le point sur leur nature et les conditions de leur utilisation.
Biométrie sur le lieu de travail : information du personnel et des instances représentatives
L'entreprise qui a recours à des pratiques de reconnaissance biométrique sur le lieu de travail doit respecter certaines dispositions du Code du travail.
Important : l'ordonnance n° 2017-1386 du 22 septembre 2017 portant réforme du Code du travail a opéré une fusion des instances représentatives du personnel (IRP) – les délégués du personnel (DP), le comité d'entreprise (CE) et le comité d'hygiène, de sécurité et des conditions de travail (CHSCT) – en un comité social et économique (CSE). La mise en place des CSE s'est effectuée à compter du 1er janvier 2018, au fur et à mesure des élections professionnelles dans l'entreprise. Elle est effective depuis le 1er janvier 2020.
Bon à savoir : l'information du CSE concernant la biométrie sur le lieu de travail résulte, depuis le 1er janvier 2018, des articles L. 2312-8 et L. 2312-38 du Code du travail.
Information du comité social et économique (ex-comité d'entreprise)
L'entreprise qui veut utiliser la biométrie vis-à-vis de ses salariés doit respecter les prérogatives du comité social et économique (ex-comité d'entreprise) :
- Le CSE doit être informé et consulté avant tout projet important d'introduction de nouvelles technologies dès lors que ces technologies peuvent avoir des conséquences sur les conditions de travail (article L. 2312-8 du Code du travail).
- Le CSE doit aussi être informé et consulté avant toute décision de mettre en œuvre des techniques permettant de contrôler l'activité des salariés (article L. 2312-38 du Code du travail). Le comité social et économique doit également être informé sur les traitements automatisés de gestion du personnel, avant leur introduction dans l'entreprise.
Information individuelle du salarié
Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas préalablement été porté à la connaissance dudit salarié (article L. 1222-4 du Code du travail). Il en découle que l'entreprise doit informer personnellement chaque salarié si elle veut introduire la biométrie.
Selon la Commission nationale de l'informatique et des libertés (CNIL), les salariés doivent être clairement informés, notamment :
- sur le caractère obligatoire ou facultatif de la biométrie ;
- sur les conditions dans lesquelles on peut s'y opposer ;
- et sur les individus qui seront destinataires des données ainsi récoltées.
À noter : la CNIL considère d'ailleurs ces données comme des données personnelles. Cela implique que doit être respectée toute la législation sur les données personnelles.
Rôle des membres de la délégation du personnel du CSE
Si l'entreprise recourt à la biométrie, les membres de la délégation du personnel du CSE peuvent jouer un rôle :
- Si un membre de la délégation du personnel du CSE constate une atteinte aux droits et libertés des salariés, il peut tenter de résoudre le problème avec l'employeur. Si aucune solution n'est trouvée, il peut saisir le bureau de jugement du conseil de prud'hommes (article L. 2312-59 du Code du travail).
- Le représentant du personnel peut présenter à l'employeur les réclamations individuelles ou collectives des salariés. Il peut même saisir l'inspection du travail (article L. 2312-5 du Code du travail, dans les entreprises de moins de 50 salariés).
Respect des libertés
L'entreprise n'a pas le droit d'apporter aux droits et aux libertés des salariés, des restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir et qui ne seraient pas proportionnées au but recherché (article L. 1121-1 du Code du travail). La biométrie doit respecter cette exigence.
À noter : cela implique que l'entreprise devrait pouvoir introduire la biométrie uniquement si cela présente une justification sérieuse et si cela n'apporte pas une atteinte disproportionnée aux libertés.
Biométrie sur le lieu de travail : rôle de la CNIL
L'entreprise ne peut introduire la biométrie qu'en respectant la protection des données personnelles des salariés.
Avant le 25 mai 208, elle devait demander d'abord une autorisation à la CNIL. Avec l'entrée en vigueur du règlement (UE) 2016/679 du 27 avril 2016 (RGPD), les formalités de déclaration et d'autorisation préalable auprès de la CNIL ont été supprimées : désormais le fichier doit être inscrit au registre des traitements de l'entreprise.
Le 10 avril 2018, la CNIL a précisé sa doctrine pour mieux encadrer les systèmes d'authentification biométrique utilisés par des particuliers dans leur vie quotidienne et inciter les professionnels à veiller à ce que les technologies utilisées garantissent la protection des données personnelles. Elle y intègre les principes consacrés par le règlement général sur la protection des données (RGPD). Ces règles sont les suivantes :
- justifier d'un besoin spécifique ;
- après information, laisser la personne libre d'y recourir ou de choisir un dispositif alternatif ;
- maintenir les données biométriques sous le contrôle exclusif de la personne concernée.
Biométrie sur le lieu de travail : règlement européen sur la protection des données (RGPD)
Suite à l'entrée en vigueur du règlement européen sur la protection des données (RGPD) le 25 mai 2018, la CNIL a mis à jour le règlement type relatif à la mise en œuvre de la biométrie sur les lieux de travail (délib. CNIL 2019-001 du 10 janvier 2019).
Conditions de recours à la biométrie
En vertu du règlement type, l'usage de la biométrie n'est autorisé que dans deux cas :
- pour contrôler l'accès aux locaux limitativement identifiés par l'employeur comme devant faire l'objet d'une restriction de circulation ;
- pour contrôler l'accès aux appareils et applications informatiques professionnels limitativement identifiés par l'employeur.
En outre, l'employeur doit démontrer, de façon documentée, la nécessité de recourir à un traitement de données biométriques, en indiquant les raisons pour lesquelles le recours à d'autres dispositifs d'identification ou mesures organisationnelles et techniques de protection ne permet pas d'atteindre le niveau de sécurité exigé.
Champ d'application
Les données biométriques qui peuvent être utilisées en vue de l'authentification des salariés sont celles basées sur des caractéristiques morphologiques, à savoir :
- iris ;
- empreinte digitale ;
- réseau veineux de la main.
Bon à savoir : un employeur ne peut pas avoir recours à des prélèvements biologiques tels que la salive ou le sang.
Les données personnelles des salariés qui peuvent être utilisées via l'identification biométrique sont :
- l'identité ;
- la vie professionnelle (numéro de matricule, service d'appartenance, etc.) ;
- les locaux ou outils de travail autorisés ;
- les données de journalisation (accès ou matériels utilisés, horodatage, etc.).
Information des salariés
L'employeur a des obligations d'information auprès des salariés quant à l'utilisation de la biométrie. Cette information doit figurer dans une notice écrite et doit être remise avant tout recueil de données biométriques.
Biométrie sur le lieu de travail : empreintes digitales
Pour la CNIL, les dispositifs consistant à enregistrer les empreintes digitales dans des bases de données, ne sont valides que s'ils sont justifiés par un fort impératif de sécurité. Ils doivent satisfaire notamment à ces 4 exigences
- il doit s'agir de contrôler l'accès d'un nombre limité de personnes à une zone bien déterminée et représentant un enjeu majeur : par exemple, centrale nucléaire ;
- les risques d'atteinte aux libertés ne doivent pas être disproportionnés ;
- l'identification des personnes doit être fiable ;
- les personnes soumises à la biométrie doivent être informées dans le respect du Code du travail et de la loi Informatique et libertés.
Pour aller plus loin :
- Les systèmes d'écoute des salariés doivent être déclarés à la CNIL. Comment ? On vous dit tout !
- Dans certains cas, la vidéosurveillance des salariés doit également être déclarée à la CNIL.
- Même obligation pour les systèmes de badges pour contrôler les horaires des salariés : ils doivent être déclarés à la CNIL.