Alors que les pratiques de contrôle horaire des salariés par des moyens biométriques (empreintes digitales, fond de l’œil, contour de la main...) sont en plein essor, la CNIL vient d’en durcir les conditions d'utilisation. En cause : la disproportion de ces techniques de pointage.
Biometry par µµ CC BY-SA 2.0
Afin d’identifier leurs salariés, certaines entreprises ont recours à des moyens d’identification de leurs données biométriques. Comme l’explique la CNIL, ces informations présentent la particularité d'être « uniques et permanentes, car elles permettent d'identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (ex : empreinte digitale, contour de la main) ». Autrement dit, ces données sont très sensibles, en ce qu’elles sont produites par le corps lui-même, et le désignent de façon définitive.
Avant de soumettre ses salariés à une telle identification, par exemple pour contrôler les accès ou gérer les horaires de travail, chaque employeur doit obtenir une autorisation de la CNIL. L’autorité administrative opère ainsi un contrôle, fondé essentiellement sur la proportionnalité du dispositif au regard de la finalité recherchée. Par exemple, et c'est un fait amusant : en 2011, la CNIL s’est elle même autorisée à mettre en place un contrôle d’accès à ses ordinateurs par empreintes digitales (voir notre article : La CNIL autorise la CNIL à utiliser un contrôle biométrique).
Il existe ainsi deux types d'autorisations : les autorisations uniques et les autorisations spécifiques. Dans le premier cas, le demandeur doit respecter un certain cahier des charges, et peut obtenir de manière relativement facile son autorisation s'il rentre dans le cadre prédéfini par la CNIL. Autrement, chaque demandeur doit déposer un dossier argumenté qui est ensuite examiné par l'autorité administrative au cas par cas. Cette seconde procédure est bien plus contraignante.
Une application totale d'ici cinq ans
En avril 2006, la Commission adoptait une autorisation unique de mise en œuvre de dispositifs biométriques, laquelle concernait « la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail (AU-007) ». Mais après avoir mené plus d’une dizaine d’auditions (organisations syndicales et patronales, ministère du Travail,...) l’autorité administrative indépendante est revenue sur sa décision : l’utilisation de dispositifs biométriques pour contrôler les horaires a été clairement décrite comme disproportionnée.
En conséquence, « la Commission a décidé de modifier l'AU-007 en ce qu'elle autorisait l'utilisation du contour de la main aux fins de gestion des horaires. Désormais, aucune autorisation unique ne permet de contrôler les horaires des salariés par un dispositif biométrique ». Cela signifie deux choses. Un, les dispositifs biométriques peuvent toujours être utilisés pour contrôler les horaires, mais doivent faire l'objet d'une autorisation spécifique, plus contraignante et délivrée au cas par cas. Deux, l’utilisation de tels dispositifs en vue de pointer l'accès à des locaux ou gérer la restauration sur les lieux de travail reste possible sur autorisation unique. « On est simplement revenu sur cette autorisation unique qui autorisait le contour de la main pour le contrôle des horaires, mais ça n’interdit pas définitivement le contrôle biométrique », nous a ainsi confirmé la CNIL.
Les établissements concernés par ce changement mais bénéficiant déjà d'une autorisation disposeront néanmoins d’un temps d’adaptation, comme le détaille la Commission dans sa délibération. L'institution leur accorde en effet une période de cinq ans, durant laquelle cette autorisation reste valide.
