Biométrie sur le lieu de travail
Les données biométriques sont des données à caractère personnel car elles permettent d’identifier des personnes. Il s'agit notamment des empreintes digitales et de la reconnaissance faciale. Lors de l’installation d’un système de contrôle biométrique sur le lieu de travail, l’employeur doit donc satisfaire aux dispositions du RGPD.
Conformément à l'article 9.1 du RGPD, et ce contrairement à la situation antérieure à l’entrée en vigueur du RGPD, les données biométriques sont une catégorie particulière de données à caractère personnel qui, par leur nature, sont particulièrement sensibles car leur traitement peut comporter des risques significatifs pour les libertés et droits fondamentaux des personnes. En vertu de l’article 9.1 du RGPD, le traitement de données biométriques est donc interdit, à moins que le responsable du traitement puisse légitimement invoquer l’un des motifs d’exception énumérés de manière limitative à l’article 9.2 du RGPD. Cela est nécessaire vu que ces données requièrent une protection renforcée.
Un des motifs d’exception pour le traitement de données biométriques est le consentement explicite de la personne concernée. Toutefois, vu le rapport de forces qui existe entre l’employeur et ses travailleurs, il ne sera pas possible d’invoquer ce motif d’exception dans un contexte lié au travail (un tel consentement ne peut en effet pas être réputé ‘libre’ au sens du RGPD), ce qui implique qu’une base juridique établissant sans équivoque que le traitement de données biométriques dans un contexte lié au travail déterminé est proportionnel et légitime sera quasiment toujours requise.
Ensuite, si l’employeur peut invoquer un motif d’exception en vertu d’une disposition de droit national déterminée, il faut également accorder de l’importance au processus de traitement biométrique et au mode d’enregistrement des données biométriques. En principe, le gabarit biométrique (l’ensemble des informations codées obtenues au départ des caractéristiques biométriques individuelles et uniques du travailleur permettant de vérifier ou d’établir son identité) peut exclusivement être conservé par le travailleur (par exemple sur un badge). L’enregistrement du gabarit dans une base de données centrale sous maîtrise (partagée) de l’employeur ne se justifiera que dans des cas exceptionnels.
Vous trouverez davantage d’informations sur le traitement de données biométriques en général dans notre recommandation relative au traitement de données biométriques.