Biométrie sur le lieu de travail

Les données biométriques sont des données à caractère personnel car elles permettent d’identifier les personnes. Il s’agit des empreintes digitales et de la reconnaissance faciale. Lors de l’installation d’un système de contrôle biométrique sur le lieu de travail, l’employeur est par conséquent tenu de respecter les dispositions du RGPD.


Par principe le RGPD interdit la mise en place de traitements portant sur des données biométriques (même si les états membres sont autorisés à prévoir des exceptions). Les données biométriques sont en effet des données particulièrement sensibles car, à l’inverse d’un mot de passe par exemple, elles sont unique et irremplaçables. Elles nécessitent donc une protection renforcée.

La mise en place de procédures biométriques doit donc répondre à des conditions strictes :

  • le contrôle d'accès biométrique à des locaux, à des ordinateurs ou à des applications sur les lieux de travail doit être justifié par l'employeur. En ce sens, le recours à la biométrie apparait comme un moyen « alternatif » d’identification.

Ainsi, à défaut d’autres moyens plus respectueux de la vie privée, pour atteindre la même finalité, un employeur ne pourra donc installer un système de contrôle biométrique que pour des motifs sérieux qui sont par exemple liés à la lutte contre la fraude, à la sécurité du site (activités dangereuses) ou encore au caractère sensible des informations traitées par certains systèmes de traitement de l’information.

  • privilégier des dispositifs garantissant la maîtrise exclusive des travailleurs sur leur gabarit biométrique. Le gabarit biométrique est un terme utilisé par la CNIL pour désigne les mesures qui sont mémorisées lors de l'enregistrement des caractéristiques morphologiques (empreinte digitale, forme de la main, iris...), biologiques (ADN, urine, sang...) ou comportementales (démarche, dynamique de tracé de signature...) de la personne concernée. Ainsi, les données biométriques devraient de préférence être enregistrées sur un support mobile sécurisé, tel qu’une carte à puce, conservé par le travailleur. Le stockage dans une banque de données centralisée rend le système biométrique certes plus convivial mais cela ne l'emporte pas sur les risques pour la protection de la vie privée. En outre, le fait que le travailleur porte sur lui ses données biométriques augmente son contrôle sur ses propres données.

En application des règles européennes et nationales, la CNIL a récemment élaboré une délibération spécifiquement dédiée à la question de la « biométrie sur le lieu de travail ». Il précise aux organismes comment encadrer leurs traitements de données biométriques et revêt un caractère contraignant. Les organismes qui mettent en œuvre ces traitements sont donc tenus de respecter les indications données dans cette délibération.