jak

Dépêches

j

Social

Contrôle

La CNIL sanctionne un dispositif biométrique de contrôle des horaires de travail illégal

Par une délibération du 6 septembre 2018, la Commission nationale de l’informatique et des libertés (CNIL) a sanctionné une entreprise pour avoir mis en œuvre un dispositif biométrique de contrôle des horaires de travail illégal.

Amende de 10 000 €

L’employeur ne peut surveiller ses salariés qu’à certaines conditions (information préalable des salariés, etc.).

Concernant le recours à la biométrie, celui-ci était soumis à une autorisation préalable de la CNIL avant l’entrée en vigueur du règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD).

Le 6 septembre 2018, la CNIL a prononcé une sanction de 10 000 € à l’encontre d’une société spécialisée dans la télésurveillance d’ascenseurs et de parkings pour avoir notamment mis en œuvre illégalement un système de pointage biométrique dans le but de contrôler les horaires des salariés.

La CNIL reprochait notamment à cette société d’avoir mis en œuvre ce dispositif :

-sans son autorisation ;

-sans que les salariés en aient été informés.

Par ailleurs, elle lui reprochait le manque de sécurisation des postes de travail par des mots de passe robustes ou un verrouillage automatique et un dispositif d’enregistrement des appels téléphoniques sans que les salariés en soient informés.

Malgré une mise en demeure et plusieurs échanges, la société ne s’étant pas totalement mise en conformité et ayant maintenu le dispositif biométrique illégal, en conséquence de quoi la CNIL l’a sanctionnée en lui infligeant une amende.

Sous l’empire du RGPD

Depuis le 25 mai 2018, dans le cadre du RGPD, le traitement de données biométriques est en principe interdit, sous réserve de certaines exceptions.

Au titre des exceptions et dans la mesure où la finalité du traitement l’exige, sont autorisés les traitements conformes aux règlements types de la CNIL mis en œuvre par les employeurs qui portent sur des données biométriques strictement nécessaires au contrôle de l’accès aux lieux de travail ainsi qu’aux appareils et aux applications utilisés dans le cadre des missions confiées aux salariés ou aux stagiaires (loi 78-17 du 6 janvier 1978, art. 8, 9° modifié ; règlt UE 2016/679 du 27 avril 2016, art. 9, JOUE 4 mai 2016).

À cet égard, on rappellera que la CNIL a lancé une consultation publique sur le projet de futur règlement type, jusqu’au 1er octobre 2018 (https://www.cnil.fr/fr/biometrie-sur-le-lieu-de-travail-la-cnil-lance-une-consultation-publique-sur-le-futur-reglement-type).

Enfin, si l’employeur opte pour ce type de dispositif, il doit procéder à une analyse d’impact (règlt UE 2016/679 du 27 avril 2016, JOUE 4 mai 2016 ; loi 2018-493 du 20 juin 2018, JO du 21 ; « L’accès aux locaux et le contrôle des horaires », www.cnil.fr).

Délib. CNIL SAN-2018-009 du 6 septembre 2018 ; https://www.legifrance.gouv.fr/affichCnil.do?oldAction=rechExpCnil&id=CNILTEXT000037413673&fastReqId=2027732591&fastPos=1

Retourner à la liste des dépêches Imprimer