Très chatouilleuse sur la question de la biométrie au travail, la Cnil vient de sanctionner une entreprise qui, par relevé d’empreintes digitales, contrôlait les horaires de ses salariés. Son amende de 10 000 euros a été rendue publique, faute pour la société d’avoir répondu à temps à l’ensemble des reproches.
En juin 2015, saisie d’une plainte concernant la mise en place d’un dispositif de vidéosurveillance et vidéoprotection dans ses locaux, la Cnil a ausculté la société Assistance Centre d’Appels, un spécialiste de la télésurveillance d’ascenseurs et de parkings.
À cette occasion, elle a relevé un grand nombre d’indélicatesses avec la loi de 1978, du moins dans sa version antérieure au Règlement général sur la protection des données (RGPD).
En haut de la pile, se trouve un système de pointage biométrique, destiné donc à contrôler les horaires des salariés. Un système qui n’a bénéficié d’aucune autorisation de l’autorité. En outre, elle a remarqué que les appels étaient enregistrés, sans que les salariés n’en soient informés.
De même, le droit d’opposition des interlocuteurs n’était jamais rappelé, pas même l’identité du responsable du traitement. Enfin, la gestion des mots de passe laisse à désirer en raison du très faible nombre de caractères utilisés, notamment.
Une mise en demeure non respectée dans les temps
En juillet 2017, l’entreprise est mise en demeure de corriger ces problèmes. Faute de réponse, un deuxième courrier lui est adressé en octobre. Le 20 octobre, la société assure en particulier que « le dispositif de pointage par code n’était plus opérationnel et que les données enregistrées étaient purgées régulièrement ».
Déduisant que le pointage par reconnaissance biométrique était toujours installé, la commission lui adresse une nouvelle relance en janvier 2018. La société prévient cette fois que les problèmes soulevés sont à conjuguer au passé.
En mars 2018, à l’occasion d’un contrôle sur place, la Cnil retrouve toujours la présence d’un système de pointage biométrique, une sécurité trop faible sur les mots de passe. « En outre, la délégation a constaté qu’étaient enregistrées au sein du logiciel […] , les traces de pointage par empreinte digitale entre le 30 août 2011 et le 28 mars 2018 ». Enfin, les droits des personnes lors des échanges téléphoniques ne sont toujours pas rappelés.
En avril 2018, Assistance Centre d’Appels se fend d’une énième réponse : les mesures demandées sont cette fois mises en œuvre. Témoignant de sa bonne volonté, elle a même désigné un délégué à la protection des données personnelles (DPO) pour l’accompagner dans cette remise sur le droit chemin. Trop tard pour la Cnil, dont la patience à des limites.
Celle-ci a donc lancé une procédure de sanction.
La biométrie sur les horaires de travail une interdiction de principe
S’agissant de l’outil biométrique, la commission a répété qu’un tel mécanisme ne pouvait jamais être mis en place pour contrôler les horaires des salariés, sauf circonstances exceptionnelles et autorisation préalable.
Les données biométriques « ont la particularité d’être uniques et permettent donc d’identifier un individu à partir de ses caractéristiques physiques ou biologiques, insiste-t-elle. À ce titre, elles bénéficient d’un régime particulièrement protecteur ».
Or, dans le cas présent, aucune justification suffisamment solide n’a été apportée. Le traitement est donc excessif et illicite.
Dans la décision de la Cnil, est également pris en compte un défaut d’information des personnes (paroles enregistrées en douce, pas d’information sur les droits). La société a eu beau de se défausser sur son prestataire, l’autorité lui a redit qu’elle était seule responsable des traitements. Il lui revenait donc de s’assurer du respect des règles de base.
Une décision de sanction rendue publique
La gestion des mots de passe fait également partie des problèmes épinglés : des postes non verrouillés en cas d’inactivité prolongée, des mots de passe avec un très faible nombre de caractères... Autant de soucis ne permettant pas d’assurer la sécurité des données, quand bien même celles-ci ne font pas parties des données sensibles.
La société a finalement écopé d’une sanction pécuniaire de 10 000 euros, rendue publique en raison de la persistance des manquements dans le temps, au-delà du délai imparti. Une manière de souligner que ne pas répondre à une mise en demeure de la Cnil dans les temps est toujours le pire choix que peut faire un responsable de traitement.
L’entreprise dispose du droit d’attaquer la décision devant les juridictions administratives. Les faits sont antérieurs à la mise en application du RGPD, mais les grands principes étaient identiques, une telle issue n’aurait pas vraiment changé sous ce nouvel empire.
