En bref
La biométrie au travail est soumise au régime des données sensibles du RGPD, au règlement type CNIL de 2019 et au principe de proportionnalité du Code du travail. L'employeur doit réaliser une analyse d'impact, consulter le CSE et informer chaque salarié.
Qualification juridique des données biométriques en droit français
Art. 4 §14 RGPD (Règl. UE 2016/679)
« Les données biométriques sont définies comme les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques. »
Source : Règlement général sur la protection des données — article consolidé
Art. 9 §1 RGPD (Règl. UE 2016/679)
« Le traitement des données biométriques aux fins d'identifier une personne physique de manière unique est interdit par principe. Cette interdiction s'inscrit dans le régime de protection renforcée applicable à l'ensemble des catégories particulières de données, dont les données génétiques et les données de santé. »
Source : Règlement général sur la protection des données — article consolidé
Principes de licéité : l'interdiction de principe et ses dérogations
Art. L1121-1 C. trav.
« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. Ce principe constitue le fondement du contrôle de proportionnalité appliqué aux dispositifs biométriques en entreprise. »
Source : Code du travail — article consolidé
Le simple confort de gestion ne justifie jamais la biométrie
Un employeur ne peut déployer un lecteur d'empreintes digitales au seul motif de simplifier la gestion des horaires ou de remplacer un badge. La CNIL considère que le pointage biométrique pour le contrôle du temps de travail est disproportionné lorsqu'un badge ou un code suffit à atteindre la finalité poursuivie.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Le règlement type CNIL du 10 janvier 2019 : finalités et types de gabarits
Privilégiez systématiquement le stockage de type 1
Le gabarit sous maîtrise exclusive du salarié (carte à puce, clé USB sécurisée) réduit considérablement le risque juridique et simplifie la conformité. La CNIL considère ce type comme la norme et exige une justification étayée pour tout recours aux types 2 ou 3.
Stocker des gabarits en base centralisée sans justification documentée
Le stockage centralisé (type 2 ou 3) sans documentation des raisons rendant impossible le recours au type 1 constitue un manquement au règlement type. La CNIL peut prononcer une mise en demeure, voire une sanction pécuniaire, pour défaut de conformité au principe de minimisation.
L'analyse d'impact relative à la protection des données : une étape incontournable
Art. 35 RGPD (Règl. UE 2016/679)
« Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel. »
Source : Règlement général sur la protection des données — article consolidé
Droits des salariés et obligations d'information de l'employeur
Art. L2312-38 C. trav.
« Le comité social et économique est informé et consulté, préalablement à la décision de mise en œuvre dans l'entreprise, sur les moyens ou les techniques permettant un contrôle de l'activité des salariés. Cette obligation de consultation préalable s'applique intégralement aux dispositifs biométriques. »
Source : Code du travail — article consolidé
Prévoir systématiquement une alternative non biométrique
Pour chaque dispositif biométrique déployé, l'employeur devrait proposer un mode d'accès alternatif (badge, code PIN). Cette mesure renforce la conformité au principe de proportionnalité, facilite l'acceptabilité du dispositif et prémunit l'entreprise contre une contestation fondée sur l'absence de liberté de choix du salarié.
Sanctions encourues et voies de recours du salarié
Art. 226-19 C. pén.
« Le fait, hors les cas prévus par la loi, de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l'intéressé, des données à caractère personnel qui, directement ou indirectement, font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses, ou les appartenances syndicales des personnes, ou qui sont relatives à la santé ou à l'orientation sexuelle ou à l'identité de genre de celles-ci, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. »
Source : Code pénal — article consolidé
Questions fréquentes
Un employeur peut-il utiliser la reconnaissance faciale pour le pointage horaire ?
La CNIL considère que le recours à la reconnaissance faciale pour le simple contrôle des horaires de travail est disproportionné lorsqu'un badge ou un code d'accès suffit. Le règlement type de 2019 n'autorise la biométrie que pour des finalités de sécurité d'accès aux locaux, aux outils informatiques ou aux zones restreintes, et non pour la gestion administrative du temps de présence.
Le salarié peut-il refuser de fournir ses données biométriques à son employeur ?
Le salarié ne dispose pas d'un droit absolu de refus si le dispositif est conforme au RGPD et au règlement type CNIL. Toutefois, l'employeur doit proposer une alternative non biométrique chaque fois que la finalité de sécurité ne l'exige pas impérativement. Le consentement n'étant pas considéré comme libre dans la relation de travail, la base juridique du traitement repose sur les dispositions légales et non sur l'accord individuel du salarié.
Quelle est la sanction maximale pour un dispositif biométrique non conforme au RGPD ?
La CNIL peut infliger une amende administrative allant jusqu'à vingt millions d'euros ou quatre pour cent du chiffre d'affaires annuel mondial de l'entreprise. Sur le plan pénal, le traitement illicite de données sensibles est passible de cinq ans d'emprisonnement et de 300 000 euros d'amende pour les personnes physiques, montant quintuplé pour les personnes morales.
L'analyse d'impact est-elle obligatoire pour un simple lecteur d'empreintes digitales ?
Oui, sans exception. Le traitement de données biométriques figure sur la liste de la CNIL des traitements nécessitant systématiquement une analyse d'impact relative à la protection des données. Cette obligation s'applique quelle que soit la technologie biométrique retenue — empreinte digitale, reconnaissance faciale, réseau veineux — et indépendamment du nombre de salariés concernés.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Beauvais
- Procédure à Evry Courcouronnes
- Procédure à Boulogne Billancourt
- Procédure à Saint Brieuc
- Procédure à Frejus
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours