Depuis le 25 mai 2018, date d’application du Règlement Général sur la Protection des Données (ci-après le « RGPD »)¹, de nombreux articles ont été écrits sur le thème de la protection des données à caractère personnel.
Pour mémoire, une donnée à caractère personnel est définie comme « toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».² Cette définition est particulièrement extensive.
En revanche, peu de développements ont été consacrés aux données biométriques.
Il s’agit d’une catégorie spécifique de données à caractère personnel qui permettent d’authentifier automatiquement un individu à partir de ses caractéristiques physiques, biologiques ou comportementales. Les données biométriques sont des données particulièrement sensibles qui sont utilisées afin d’identifier une personne de façon unique à partir d’éléments tels que son visage, ses empreintes digitales ou sa voix. Le RGPD les définit comme des « données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ».³
L’article 9.1 du RGPD en fait des données sensibles à part entière. Ainsi, le traitement des données biométriques est soumis à un principe d’interdiction. En d’autres termes, contrairement aux données à caractère personnel « classiques », le responsable du traitement n’est pas autorisé à traiter des données biométriques, sauf si l’une des conditions énumérées à l’article 9.2 du RGPD est remplie, par exemple :
- Si la personne concernée a donné son consentement exprès au traitement de ses données pour une ou plusieurs finalités spécifiques ;
- Lorsque le traitement est nécessaire au respect des obligations ou à l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, sous réserve que cela résulte d’une obligation légale et que des garanties appropriées soient proposées ;
- Si le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une personne physique ;
- Lorsque le traitement est mis en œuvre par une association ou tout autre organisme à but non lucratif et à caractère non religieux, philosophique, politique ou syndical, pour ses membres ou ses contacts réguliers ;
- Lorsque les données sont manifestement rendues publiques par la personne elle-même.
Dans le cadre de la deuxième exception, nous pouvons nous interroger sur les modalités de traitement des données des salariés sur leur lieu de travail. En pratique, de nombreuses entreprises ont recours à des systèmes de contrôle d’accès. Leurs obligations ont-elles changé avec le RGPD ?
Avant le 25 mai 2018, la mise en œuvre des dispositifs de contrôle était subordonnée à une demande d’autorisation préalable auprès de la Commission Nationale Informatique et Libertés (CNIL).
Dorénavant, compte tenu de la fin du régime déclaratif, l’autorisation préalable n’est plus exigée.
Le législateur français s’est récemment penché sur la question. Ainsi, le nouvel article 8 II 9° de la Loi Informatique et Libertés autorise le traitement des seules données biométriques qui sont « strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés, aux agents, aux stagiaires ou aux prestataires ».⁴
S’agissant de données sensibles au sens de l’article 9.1 du RGPD, l’utilisation des dispositifs de contrôle est strictement encadrée :
- La finalité du dispositif doit être limitée au contrôle de l’accès à une zone bien définie pour un nombre de personnes ;
- Le dispositif doit être adapté à la finalité qu’il poursuit (proportionnalité) ;
- L’employeur doit mettre en place des garanties pour que l’authentification et/ou l’identification ne provoquent pas la divulgation des données ;
- Les personnes concernées par le traitement de leurs biométriques doivent être informées de l’existence du dispositif de contrôle.
La formation restreinte de la CNIL a sanctionné une entreprise qui a mis en œuvre illégalement un système biométrique à des fins de contrôle des horaires des salariés. La sanction s’est matérialisée par une amende de 10.000 euros. La CNIL reprochait notamment à l’entreprise un manquement à l’obligation d’information de ses salariés.
Enfin, la Loi Informatique et Libertés prévoit que des dispositifs de contrôle d’accès biométriques peuvent être mis en place par les employeurs, sous réserve de se conformer à un règlement type élaboré par la CNIL. Cette dernière a tout récemment lancé une consultation publique sur ledit règlement, celui-ci ayant pour objet de préciser les dispositions légales et les articles du RGPD.
M&B Avocats
¹ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
² Article 4.1 du Règlement Général sur la Protection des Données
³ Article 4.14 du Règlement Général sur la Protection des Données
⁴ Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, article 8 II 9°, créé par la Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles