La Délibération SAN-2018-009 de la CNIL en formation restreinte du 6 septembre 2018 a prononcé une sanction pécuniaire de 10.000 € à l’encontre d’un employeur du secteur privé pour avoir mis en œuvre illégalement un système biométrique de reconnaissance de l’empreinte digitale à des fins de contrôle des horaires de ses salariés.

Une délégation de la CNIL avait constaté lors d’un contrôle de l’entreprise, la mise en œuvre d’un dispositif de pointage biométrique à des fins de contrôle des horaires des salariés, sans autorisation de la CNIL. De plus, un dispositif d’enregistrement des appels téléphoniques était mis en place sans que les salariés en soient informés.

La CNIL a rendu publique sa décision afin de rappeler leurs droits aux salariés  et aux employeurs leurs obligations notamment s’agissant de la biométrie sur les lieux de travail.

La surveillance des salariés par l’employeur

L’employeur a le droit de contrôler et de surveiller l’activité de ses salariés pendant le temps de travail.

Toutefois, l’article L. 1222-4 du Code du travail prévoit qu’aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance.

De plus, l’article L. 2323-32, alors en vigueur, indiquait que le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés.

A ce jour, l’article L. 2312-38 du Code du travail précise les moyens de contrôle de l’activité des salariés et l’information du CSE.

Ainsi, le comité social et économique est informé, préalablement à leur introduction dans l’entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci.

De même, le CSE est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés.

La légalité des traitements de données à caractère personnel

La Loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés détermine les principes et les conditions de licéité des traitements de données à caractère personnel.

La CNIL précise que les données biométriques ont la particularité d’être uniques et permettent donc d’identifier un individu à partir de ses caractéristiques physiques ou biologiques et doivent bénéficier d’un régime particulièrement protecteur.

Toutefois, depuis 2012, la CNIL interdit l’utilisation de tout dispositif biométrique à des fins de gestion des horaires des salariés. Si le recours à un dispositif biométrique peut faire l’objet d’une demande d’autorisation, le responsable du traitement doit démontrer qu’il existe des circonstances exceptionnelles fondées sur un impératif spécifique de sécurité.

De plus, l’article L. 1121-1 du Code du travail précise que nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

Les sanctions de la CNIL

Conformément à l’article 45 de la loi du 6 janvier 1978, lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la CNIL peut, le cas échéant après lui avoir adressé l’avertissement ou, le cas échéant en complément d’une mise en demeure, saisir la formation restreinte de la commission en vue du prononcé de l’une ou de plusieurs des mesures suivantes, entre autres :

- Un rappel à l’ordre ;

- Une injonction de mettre en conformité le traitement avec les obligations résultant de loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;

- A l’exception des traitements qui intéressent la sûreté de l’État ou la défense ou de ceux mis en œuvre pour le compte de l’État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du même règlement ou de la présente loi ;

- A l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Ainsi, en cas de mise en œuvre illégale par un employeur d’un système biométrique de reconnaissance de l’empreinte digitale à des fins de contrôle des horaires de ses salariés, celui-ci s’expose à des sanctions financières s’il ne répond pas aux mises en demeure de la CNIL et refuse de mettre effectivement en œuvre les mesures requises.

Pour aller plus loin

Lire l’article sur : CNIL – La Cour de cassation confirme la sanction de 10.000 € contre un employeur qui utilisait abusivement la vidéosurveillance sur le lieu de travail des salariés

Lire l’article sur : Un employeur qui utilise la vidéosurveillance doit prévenir ses salariés et informer le comité d’entreprise

Lire l’article sur : Vidéosurveillance au travail – la CNIL sanctionne une entreprise pour atteinte à la vie privée des salariés

Lire l’article sur la délibération du 3 janvier 2013 de la CNIL interdit la vidéosurveillance permanente de salariés sur les lieux de travail

Lire l’article sur un employeur ne peut pas utiliser un GPS pour contrôler le temps de travail de ses salariés

Lire l’article sur un employeur ne peut pas surveiller les salariés avec un logiciel de Keylogger : Un test d’installation avec les touches CTRL ALT F9

© La rédaction – Infosdroits