Contrôle illégal des horaires des salariés : La CNIL afflige une sanction pécuniaire de 10.000 € à un employeur pour avoir utilisé illégalement un système biométrique de reconnaissance de l’empreinte digitale des salariés

Ainsi, le comité social et économique est informé, préalablement à leur introduction dans l’entreprise, sur les traitements automatisés de gestion du personnel et sur toute modification de ceux-ci.

De même, le CSE est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés.

La légalité des traitements de données à caractère personnel

La Loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés détermine les principes et les conditions de licéité des traitements de données à caractère personnel.

La CNIL précise que les données biométriques ont la particularité d’être uniques et permettent donc d’identifier un individu à partir de ses caractéristiques physiques ou biologiques et doivent bénéficier d’un régime particulièrement protecteur.

Toutefois, depuis 2012, la CNIL interdit l’utilisation de tout dispositif biométrique à des fins de gestion des horaires des salariés. Si le recours à un dispositif biométrique peut faire l’objet d’une demande d’autorisation, le responsable du traitement doit démontrer qu’il existe des circonstances exceptionnelles fondées sur un impératif spécifique de sécurité.

De plus, l’article L. 1121-1 du Code du travail précise que nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

Les sanctions de la CNIL

Conformément à l’article 45 de la loi du 6 janvier 1978, lorsque le responsable de traitement ou son sous-traitant ne respecte pas les obligations résultant du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de la présente loi, le président de la CNIL peut, le cas échéant après lui avoir adressé l’avertissement ou, le cas échéant en complément d’une mise en demeure, saisir la formation restreinte de la commission en vue du prononcé de l’une ou de plusieurs des mesures suivantes, entre autres :

– Un rappel à l’ordre ;

– Une injonction de mettre en conformité le traitement avec les obligations résultant de loi ou du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou de satisfaire aux demandes présentées par la personne concernée en vue d’exercer ses droits, qui peut être assortie, sauf dans des cas où le traitement est mis en œuvre par l’État, d’une astreinte dont le montant ne peut excéder 100 000 € par jour de retard à compter de la date fixée par la formation restreinte ;

– A l’exception des traitements qui intéressent la sûreté de l’État ou la défense ou de ceux mis en œuvre pour le compte de l’État, la limitation temporaire ou définitive du traitement, son interdiction ou le retrait d’une autorisation accordée en application du même règlement ou de la présente loi ;

– A l’exception des cas où le traitement est mis en œuvre par l’État, une amende administrative ne pouvant excéder 10 millions d’euros ou, s’agissant d’une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Ainsi, en cas de mise en œuvre illégale par un employeur d’un système biométrique de reconnaissance de l’empreinte digitale à des fins de contrôle des horaires de ses salariés, celui-ci s’expose à des sanctions financières s’il ne répond pas aux mises en demeure de la CNIL et refuse de mettre effectivement en œuvre les mesures requises.