Identification du personnel

De nombreuses entreprises ont recours à l’identification du personnel afin de contrôler et/ou d’empêcher l’accès physique à l’entreprise ou à certaines zones spécifiques au sein de l’entreprise. Une autre application de l’identification du personnel est la sécurisation d’informations sensibles sur des ordinateurs, telles que des fichiers spécifiques (par exemple des fichiers médicaux), à l’aide de méthodes biométriques.

Identification du personnel

La publication du nom et de la photo sur le site Internet ou sur l'intranet de l'entreprise est une forme d'identification du personnel. Ces applications font régulièrement l'objet de questions adressées à la l'Autorité pour savoir ce qui est permis ou non. Une troisième application est examinée de façon plus approfondie, il s'agit de la publication de noms et d'autres données à caractère personnel de travailleurs sur un intranet ou sur un site Internet.

Badge du personnel

L'utilisation d'un badge du personnel ne se limite pas toujours à la simple identification du membre du personnel ou à la gestion de l'accès physique à (des parties de) l'entreprise. Dans certains cas, le badge du personnel est également utilisé en tant que système de contrôle du temps de travail via l'enregistrement électronique du temps.

L’employeur peut-il utiliser secrètement le badge du personnel comme moyen de contrôle du temps de travail ?

Si l'employeur fait utiliser un badge aux membres de son personnel pour l'accès aux locaux de l'entreprise et qu'il souhaite également utiliser ce badge comme système de contrôle pour enregistrer leurs heures d'arrivée et de départ, il doit en informer ses travailleurs.

En ne le faisant pas, l'employeur enfreint la Loi vie privée car les travailleurs ignorent que leur badge d'accès fait aussi office de carte de pointage. D'après cette loi, la finalité du badge doit être claire pour tout le monde (c'est ce que l'on appelle le principe de transparence de la Loi vie privée). Si tel n'est pas le cas, des contestations peuvent survenir quant à la présence ou non d'un travailleur sur le lieu de travail : un travailleur qui n'a pas utilisé son propre badge car il a franchi la porte d'accès juste après un collègue (qui, lui, avait bel et bien utilisé son badge) ne sera pas enregistré par le système comme "présent", vu qu'il n'a pas pointé avec son propre badge.

Applications biométriques sur le lieu de travail

Une application biométrique sur le lieu de travail consiste par exemple en l'enregistrement des heures d'arrivée et de départ des membres du personnel sur le lieu de travail à l'aide d'une vérification du contour de la main.

Les données biométriques sont des données à caractère personnel car elles concernent des données relatives à des personnes identifiées ou identifiables. Lors de l’installation d’un système de contrôle biométrique sur le lieu de travail, l’employeur est par conséquent tenu de respecter les dispositions de la Loi vie privée.

Pour évaluer la légalité des contrôles biométriques sur le lieu de travail, il convient spécifiquement d’examiner pourquoi on a par exemple recours à la vérification du contour de la main. À la lumière de la réponse à cette question, on examinera ensuite si cette méthode n'est pas exagérée et s'il n'existe pas d'autres moyens, plus respectueux de la vie privée, d'atteindre la finalité du contrôle biométrique.

Un employeur ne peut donc installer un système de contrôle biométrique que pour des motifs sérieux qui sont par exemple liés à la lutte contre la fraude ou au caractère particulier de l’activité exercée sur le site (recherche et développement, …), à la sécurité du site (activités dangereuses) ou encore au caractère sensible des informations traitées par certains systèmes de traitement de l’information.

Pour d'autres finalités, par exemple la sécurisation de l’accès à des lieux très sensibles avec un besoin accru de sécurité (par exemple une certaine section d’une entreprise SEVESO, d’un complexe militaire, …) ou l’obtention de l’accès à des informations particulièrement sensibles dans une certaine banque de données, des applications biométriques telles que la vérification des empreintes digitales ou du contour de la main paraissent déjà plus acceptables afin d’éviter que des personnes non autorisées accèdent à ces lieux ou à ces informations sensibles.

En ce qui concerne le traitement de données biométriques en général, l'Autorité a émis l'avis d’initiative n° 17/2008 du 9 avril 2008 relatif aux traitements de données biométriques dans le cadre de l'authentification de personnes.

Dans son avis, la l’Autorité de protection des données affirme qu’un traitement biométrique pose problème à la lumière de la vie privée, par exemple en cas d’utilisation de caractéristiques biométriques qui laissent des traces (empreintes digitales), d’images au lieu de gabarits ou de centralisation des empreintes dans une banque de données. L’enregistrement simple sur un support dont la personne concernée est la seule à disposer, comme un badge ou une carte à puce, est en effet suffisant.

Les données biométriques devraient de préférence être enregistrées sur un support amovible sécurisé, tel qu’une carte à puce, conservé par le travailleur ou dans l'appareil contenant le capteur biométrique, par exemple à l'entrée du bâtiment, qui doit être sécurisé. Le stockage centralisé de données biométriques accroît en effet le risque de réutilisation des données pour d'autres finalités non autorisées. Le stockage dans une banque de données rend le système biométrique certes plus convivial mais cela ne l'emporte pas sur les risques pour la protection de la vie privée. En outre, le fait que le travailleur porte sur lui ses données biométriques augmente son contrôle sur ses propres données.

Quelques exemples concrets d’identification du personnel dans la pratique

Publication de données à caractère personnel du travailleur sur le site Internet

Le fait que l’employeur souhaite placer les données d’identification et de contact de l'ensemble du personnel sur un site Internet publiquement accessible soulève des questions chez beaucoup de travailleurs. Le respect de la vie privée implique en effet de limiter au maximum le nombre de personnes qui peuvent voir ces données à caractère personnel. Cela ne se justifie que si cela s’inscrit dans le cadre de certains besoins spécifiques de l’entreprise.

Il est excessif de placer sur un site Internet accessible à tous des données de membres du personnel n’ayant aucun contact avec la clientèle (ceux qui sont donc ‘invisibles’ pour le monde extérieur car ils travaillent pour le back office de l’employeur).

Mais en principe, les données des membres du personnel qui sont souvent en contact avec le client ou avec le public peuvent donc bien être publiées sur un site Internet ouvert à tous. Pensons à l’exemple du porte parole d’une organisation. La publication en ligne de ses données porte effectivement atteinte à sa vie privée, mais elle est néanmoins pertinente parce que nécessaire pour le type de travail qu’il exécute.

Le secteur public est soumis à une législation relative à la publicité de l’administration. Cela signifie-t-il qu’en raison de l’obligation de viser la transparence, un employeur de ce secteur doive malgré tout publier des données à caractère personnel de travailleurs sur Internet ?

Les services publics ont effet l’obligation légale d’informer le public sur les grandes lignes de leur politique et de diffuser des informations à propos des services qu’ils proposent. Cette obligation est imposée dans la loi.

Mais bien que les pouvoirs publics aient un devoir de transparence, ils ne peuvent cependant pas donner accès à toutes les informations concernant leurs agents.

Le droit d’accès du citoyen à ces informations devra être conciliable avec le droit de l’agent au respect de sa vie privée.

Une photo d’un agent de quartier dans la brochure ou sur le site Internet de la zone de police

On peut affirmer que la publication de la photo de l’agent de quartier est en fait nécessaire et légitime pour le bon fonctionnement des services de la zone de police locale. Cette publication contribue à la transparence (lexique) poursuivie par les services de police et est conforme à la définition légale du travail de quartier.

La photo est publiée afin que l’agent de quartier, qui est en contact direct (tentatives de conciliation, diffusion d’informations, …) avec les habitants du quartier, soit connu. Dans les zones faiblement peuplées, l’agent de quartier est une figure connue pour la plupart des habitants du quartier, mais dans les grandes villes, c’est beaucoup moins le cas. Les nouveaux arrivés ne connaissent pas non plus l’agent de quartier. Cependant, l’agent de quartier peut faire valoir un droit d’opposition avant que la photo ne soit publiée. Il doit pour cela bénéficier d’un délai raisonnable. La condition pour une opposition fondée est qu’il ait des raisons sérieuses et légitimes tenant à sa situation particulière. Il peut s’agir par exemple du taux de criminalité de la zone de police concernée ou des risques manifestes que l’agent encourt … Si le chef de corps n’entend pas accepter cette opposition, il doit motiver sa décision.

Par ailleurs, d’après la loi vie privée, le responsable du traitement, dans ce cas-ci le chef de corps de l’agent de quartier, doit veiller à la proportionnalité du traitement. Cela signifie qu’il doit s'assurer que les données qui sont traitées à propos d’agents de quartier, comme par exemple la publication d’une photo sur Internet, soient adéquates, pertinentes et non excessives. Pour évaluer si tel est le cas, il se basera toujours sur les finalités pour lesquelles les données sont obtenues ou pour lesquelles elles seront traitées ultérieurement.

Dès lors, le chef de corps doit tenir compte du mode de diffusion des photos. Il est préférable que les publications papier soient exclusivement distribuées dans le quartier où l’agent officie. La photo mise en ligne doit uniquement être accessible via le portail officiel de la zone de police à laquelle l’agent de quartier appartient. À cet égard, le responsable du traitement (en l’occurrence le chef de corps) doit veiller à ce que seul le public cible ait accès à l’information, afin que des personnes extérieures ne puissent pas l’utiliser à mauvais escient (par exemple pour commettre des actes de vengeance, …). Ainsi, la personne qui souhaite savoir qui est son agent de quartier via le site Internet de l’autorité locale sera invitée à mentionner le quartier où elle habite, par exemple en sélectionnant le nom de sa rue.

Le chef de corps doit donc empêcher que des moteurs de recherche n’affichent la photo de l’agent concerné, surtout si elle est liée à son nom. Il doit aussi mettre en œuvre tous les moyens techniques afin d’empêcher l'enregistrement d’une copie de la photo dans un fichier ou l'impression sur papier.

Dès que l’agent de quartier reçoit une autre affectation ou qu’il s’est légitimement opposé à cette publication, sa photo doit être supprimée.

Port obligatoire d’un badge avec photo et/ou nom

Le caractère proportionnel ou la proportionnalité du port obligatoire d'un badge nominatif avec photo est évalué au cas par cas. Il n'est par exemple pas exagéré que des personnes qui sont régulièrement en contact avec le public (chauffeurs de taxi, personnes chargées des relations avec la clientèle, préposés au guichet d'une administration) portent un badge, mais ça l'est par contre pour des personnes travaillant dans des services fermés au public. Que des personnes exerçant une fonction d'autorité et habilitées à constater des infractions (fonctionnaires de police, agents assermentés d'une société de transport en commun, …) soient obligées de porter un badge d'identification est également acceptable si cela permet au citoyen de vérifier si la personne qui exerce son autorité sur lui est bien celle qu'elle prétend être.

Plus il y a de données à caractère personnel sur le badge d’identification, plus grande est l’intrusion dans la vie privée de la personne concernée. Il est donc nécessaire d’éviter autant que possible la mention sur le badge à la fois du nom et de la photo.

Nous recommandons dès lors que l'employeur apprécie en concertation avec les membres de son personnel ou leur(s) représentant(s) les données qui doivent figurer sur le badge d'identification et la nécessité de porter le badge de manière visible ou de le présenter seulement sur demande. À moins que le port visible du badge soit imposé par la loi. À cet égard, il convient toujours de choisir la solution la plus respectueuse de la vie privée. Par exemple, si le but est :

  • de pouvoir identifier la personne même : le nom suffit ;
  • de pouvoir vérifier si des personnes qui circulent dans les bâtiments d'une grande entreprise/administration y sont autorisées : la photo suffit.

Dans certaines circonstances, le port d’un badge sur lequel figurent la photo et le nom est justifié, par exemple pour l’accès à certains locaux réservés uniquement à des personnes déterminées pour des raisons de sécurité (ambassades, ministère de la défense, aéroports …).

Enfin, un employeur ne peut pas utiliser la photo d’un employé prise pour la confection d’un badge d’identification pour une publication sur un site intranet ou dans une brochure éditée par l’employeur sans que le travailleur ait donné son consentement explicite pour ces autres finalités. Ce consentement doit être demandé au moment de la confection du badge ou lors de la publication sur intranet ou dans une brochure. Le principe de finalité implique en effet que les données ne peuvent être traitées pour d'autres finalités.

Une plaquette nominative sur l'uniforme des fonctionnaires de police

Si le port d'une plaquette nominative est imposé par la loi, c'est acceptable. La Loi sur la fonction de police oblige les fonctionnaires de police à porter une plaquette nominative. Ainsi, la Loi sur la fonction de police prévoit que "Tout fonctionnaire de police et agent de police en service doit pouvoir être identifié en toutes circonstances". Une telle identification peut se faire à l'aide d'une plaquette nominative ou d'un numéro d'intervention, selon les circonstances et en fonction de la décision chef de corps.