AVOCAT INFORMATIQUE

DROIT INFORMATIQUE

La CNIL admet l’utilisation de la biométrie pour protéger les locaux sensibles mais pas pour contrôler les temps de travail des salariés

avocat informatique

Utilisation de la biométrie pour protéger les locaux sensibles

La CNIL admet l’utilisation de la biométrie pour protéger les locaux sensibles mais pas pour contrôler les temps de travail des salariés


Mots-clés : 

Biométrie, accès aux locaux, contrôle du temps de travail des salariés

Date : 

16-10-2005

Les entreprises souhaitent parfois sécuriser l'accès à leurs locaux sensibles par la mise en place de contrôle des accès biométriques.

Ces outils peuvent faire appel à plusieurs technologies différentes : certaines reconnaissent l'iris de l'oeil, mais les plus fréquentes utilisent le contour de la main ou les empreintes digitales.

Dans la mesure où ces systèmes permettent d'identifier les personnes concernées avec certitude, certaines entreprises ont souhaité les mettre en oeuvre également pour contrôler le temps de travail des salariés.

Depuis, la réforme de la loi Informatique et libertés intervenue au mois d'août 2004, les traitements permettant de contrôler les accès à des locaux par le biais de la biométrie sont soumis à autorisation préalable de la Commission nationale de l'Informatique et des Libertés (la CNIL) qui dispose d'un délai de 2 mois renouvelable une fois pour se prononcer, son silence valant refus de la demande d'autorisation.

Récemment, la CNIL a prononcé un certain nombre de refus d'autorisation, mais elle en a également accepté d'autres. Une entreprise qui souhaite mettre en place un tel système devra donc, avant de l'acquérir, analyser si ces fonctionnalités sont conformes à la position de la CNIL.

D'une manière générale, la CNIL préfère que les entreprises recourent à la technologie de la reconnaissance du contour de la main, plutôt qu'à celle de l'empreinte digitale, sauf, dans cette dernière hypothèse si le gabarit de l'empreinte est stocké sur une carte à puce que les personnes gardent sur elles. La CNIL veut en effet éviter que soit porté atteinte aux libertés fondamentales des citoyens par la constitution de bases de données d'empreintes digitales qui ressembleraient trop à celles des autorités judiciaires.

Ainsi, elle a récemment autorisé une société à mettre en place un système de contrôle d'accès aux locaux sensibles de l'entreprise, mais également à la cantine par le biais d'un système de reconnaissance des empreintes digitales dont le gabarit est stocké dans un badge : pour pouvoir accéder aux locaux, le salarié doit présenter à la fois son badge et son empreinte, afin que le système puisse reconnaître que l'empreinte présentée est identique à celle enregistrée dans le badge.

Elle a également autorisé une entreprise à protéger l'accès à sa salle d'hébergement informatique par le biais d'un système de reconnaissance du contour de la main, ou encore un collège à mettre en place un outil identique pour gérer les accès à la cantine scolaire. Ce dernier système permettant d'éviter les problèmes administratifs occasionnés par les pertes ou oublis de leur carte de cantine par les jeunes élèves.

En revanche, elle a refusé de donner son autorisation à des systèmes similaires qui avaient pour objet le contrôle des horaires de travail. La CNIL estime, dans ses délibérations portant refus d'autorisation que s'il est légitime qu'un employeur gère et contrôle les temps de travail de ses salariés, elle indique que cet objectif ne permet pas de justifier l'enregistrement d'un élément propre à l'identité physique des employés aux seules fins de contrôler les temps de travail.

La position de la CNIL rejoint à cet égard celle du Tribunal de grande instance de Paris qui, par un jugement en date du 19 avril 2005 a interdit à une société d’utiliser un système biométrique pour contrôler les horaires de ses salariés au motif que les atteintes apportées aux libertés fondamentales des salariés par la constitution d’une base de données d’empreintes digitales ne saurait être justifiées par l’objectif poursuivi, à savoir le contrôle des horaires.

Bien entendu, les salariés concernés devront être informés de la mise en oeuvre du traitement, de ses finalités, des destinataires des données, ainsi que du fait qu'ils disposent d'un droit d'information, d'accès, de rectification et d'opposition pour des motifs légitimes au traitement des données les concernant.


Voir aussi : TGI Paris 19.04.2005 sur un cas d'interdiction du badgeage par empreintes digitales