Actualité : article de veille

Pas de biométrie pour contrôler les horaires de travail

Le 31/10/2012, par La Rédaction de Net-iris, dans Social / Droit du Travail.

Vos réactions...

   

Plus aucune autorisation unique de la CNIL ne permet désormais de contrôler les horaires des salariés par un dispositif biométrique de reconnaissance de la main.

Introduction

Le recours à la biométrie comme outil de gestion des présences et de contrôle des horaires de travail des salariés, soulève de plus en plus de craintes.
En effet, la biométrie est une méthode d'identification des individus à partir de caractères biologiques, dont l'empreinte digitale est la technologie dominante. De nos jours, la biométrie s'est largement diversifiée et porte le plus généralement sur le contour de la main, la reconnaissance faciale, le réseau veineux, l'ADN, l'identification par l'iris ou encore par la voix.

De nombreuses entreprises, enseignes commerciales, écoles, mairies, hôpitaux, aéroports, etc. ont déjà recours à un système biométrique, pour des raisons diverses.

Après une large consultation des acteurs du monde de l'entreprise, la Commission nationale informatique et libertés (CNIL) a décidé de modifier son autorisation unique (AU-007) de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail.

En raison du "risque accru de détérioration du climat social, allant à l'encontre de la relation de confiance employeur-salarié", d'une part, et du fait que la biométrie aux fins de contrôle des horaires de travail est disproportionné au but recherché, d'autre part, la Commission estime préférable de limiter le contrôle des horaires aux outils classiques, comme la "pointeuse à badge".

En conséquence, sa décision s'applique immédiatement, avec toutefois une période transitoire applicables aux entreprises actuellement détentrices de l'autorisation unique.

Fin de délivrance de l'autorisation AU-007 pour contrôler les horaires des salariés

Depuis plusieurs années, les techniques de contrôle des salariés sur leurs lieux de travail se sont développées et sophistiquées, avec notamment la géolocalisation, la cybersurveillance et la biométrie. Il en ressort un sentiment de mise sous surveillance permanente des salariés, avec le mal-être que l'on peut aisément imaginer.

Même si le contour de la main est un dispositif biométrique sans trace, "son recours implique d'utiliser une partie de son corps, ce qui en soi est disproportionné au regard de la finalité de gestion des horaires", ont estimé les membres de la Commission.

"Désormais, aucune autorisation unique ne permet de contrôler les horaires des salariés par un dispositif biométrique", annonce la CNIL. La Commission explique cette décision par l'absence de proportionnalité entre le recours à un dispositif biométrique et le contrôle des horaires de travail, sachant qu'il existe sur le marché des technologies moins intrusives qui permettent de répondre aux besoins des employeurs (système de pointage, connexion et déconnexion des ordinateurs, principalement).

Mise en place d'une période transitoire de 5 ans

S'agissant des organismes qui recourent actuellement à ce dispositif pour contrôler les horaires de leur personnel et qui ont effectué un engagement de conformité avant le 12 octobre 2012, ils peuvent continuer de l'utiliser pendant une période de 5 ans. Passé ce délai, ils devront arrêter de recourir à la fonctionnalité biométrique, ce qui n'impliquera pas systématiquement de changer de matériel.

Les organismes peuvent en effet paramétrer le système pour inhiber la fonction biométrique et utiliser, à la place, des codes, cartes ou/ et badges sans biométrie.

Tous les organismes ayant précédemment adressé un engagement de conformité à l'AU-007, seront informés individuellement par la CNIL de cette évolution.

Toutefois, les dispositifs de contour de la main pourront toujours être utilisés pour contrôler l'accès à des locaux ou gérer la restauration sur les lieux de travail. Ces traitements continueront de faire l'objet d'un engagement de conformité à l'AU-007

Le fait d'installer un dispositif biométrique pour d'autres finalités que celles couvertes par l'AU-007 devra donner lieu à des demandes d'autorisation spécifiques, qui seront examinées au cas par cas par la Commission.

Nouvelles finalités de l'autorisation unique AU-007

Désormais, seuls peuvent faire l'objet d'un engagement de conformité, les traitements reposant sur un dispositif de reconnaissance du contour de la main, mis en oeuvre par les organismes privés ou publics, à l'exception des traitements mis en oeuvre pour le compte de l'État et par les établissements accueillant des mineurs, lorsque les personnes concernées sont des mineurs.

Ces traitements peuvent donc avoir pour finalités :

  • le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de l'organisme faisant l'objet d'une restriction de circulation ;
  • le contrôle de l'accès au restaurant d'entreprise ou administratif et la gestion de la restauration ainsi que la mise en place d'un système de paiement associé ;
  • le contrôle d'accès des visiteurs.

Le dispositif biométrique de reconnaissance du contour de la main doit présenter les caractéristiques suivantes :

  • aucune photographie de la main des personnes concernées n'est conservée ;
  • les éléments pris en compte reposent exclusivement sur la géométrie de la main ;
  • seul le gabarit du contour de la main, résultat du traitement des mesures par un algorithme, est enregistré dans une base de données où il peut être associé à un numéro d'authentification de la personne ;
  • lorsque la finalité poursuivie est le contrôle de l'accès au restaurant d'entreprise ou administratif, le dispositif de reconnaissance du contour de la main peut être interconnecté avec une application de gestion de la restauration ainsi qu'avec un système de paiement associé.

Chacune des finalités précitées peut faire l'objet d'une application mise en oeuvre de façon indépendante ou intégrée. Mais seules les données à caractère personnel suivantes peuvent être traitées :

  • identité : nom, prénom, photographie, numéro d'authentification et gabarit du contour de la main ;
  • vie professionnelle : numéro de matricule interne, corps ou service d'appartenance, grade ;
  • déplacement des personnes : porte utilisée, zones d'accès autorisées, date et heure d'entrée et de sortie ;
  • en cas d'accès à un parking : numéro d'immatriculation du véhicule, numéro de place de stationnement ;
  • en cas de gestion de la restauration : prix des consommations et moyen de paiement, part patronale ou de l'administration, solde, date du repas et type de consommation (sous la forme exclusive : "hors d'oeuvres", "plat", "dessert", "boisson").

S'agissant des visiteurs, outre les catégories de données relatives à l'identité et au déplacement des personnes, l'indication de la société d'appartenance et du nom de l'employé accueillant le visiteur peut être traitée.

Enfin, il est rappelé que tous les contrôles d'accès aux locaux du responsable de traitement et aux zones limitativement désignées, faisant l'objet d'une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent, ne doivent pas entraver la liberté d'aller et venir des employés protégés dans l'exercice de leurs missions.

© 2012 Net-iris

   

Inscription JuriTravail Avocats

Pour approfondir ce sujet :

Commentaires et réactions :



-