septembre 2017

Biométrie et contrôle des horaires : une réglementation encore trop méconnue

Près de 5 ans après que la CNIL a interdit de façon explicite le recours à la biométrie pour le contrôle des horaires, il est frappant de constater que ces dispositions restent encore méconnues de nombreux acteurs, y compris au sein de la fonction RH.

Il est tout aussi surprenant que de nombreux professionnels continuent de proposer ces technologies sur le marché français, le plus souvent sans aucune information aux clients sur les risques qu’ils encourent à mettre en place ce genre de solution dans leur entreprise.

Biométrie : les fondations de la doctrine de la CNIL

Après une large consultation d’organisations syndicales et patronales, de professionnels du secteur, et de la Direction Générale du Travail, la CNIL était arrivée à la conclusion que les technologies non biométriques étaient suffisantes pour la gestion des horaires. Elle avait pointé les risques de détérioration du climat social en raison d’un recours trop systématique aux technologies biométriques par les employeurs.

Dans  sa délibération No 2012-322 du 20 septembre 2012, la CNIL précisait ainsi : « …. Un consensus s’est clairement exprimé considérant l’utilisation de la biométrie aux fins de contrôle des horaires comme un moyen disproportionné d’atteindre cette finalité…. ».

Point important : la CNIL laissait 5 ans à compter de cette délibération aux entreprises ayant déjà déployé des solutions biométriques pour le contrôle horaire, afin de se mettre en conformité avec ces nouvelles dispositions. Cette décision s’appliquait quelle que soit la technologie utilisée, y compris la reconnaissance du contour de la main.  Ce qui signifie qu’à partir de septembre 2017, toute utilisation de technologie biométrique à des fins de gestion des horaires se fait en infraction aux dispositions de la CNIL. Cette situation pourrait engager la responsabilité civile et pénale de l’employeur en cas de recours de salariés, d’IRP ou de tiers.

 

Une compréhension compliquée par une doctrine évolutive

La doctrine de la CNIL n’a pas été constante dans le temps. Depuis avril 2006 et jusqu’en septembre 2012, la CNIL autorisait les technologies reposant sur la reconnaissance du contour de la main (A.U. No 7) à des fins de contrôle horaire. De nombreuses entreprises se sont dotées de ces solutions, en particulier celles pour qui la gestion du badge pouvait poser des problèmes logistiques. Elles étaient également déployées dans des secteurs où les possibilités de fraude par les salariés étaient jugées importantes, justifiant ainsi le recours à la biométrie qui par nature élimine cette situation.

En septembre 2012, la CNIL interdit donc la biométrie à des fins de gestion de présence, mais laisse cette possibilité pour le contrôle d’accès considérant qu’elle peut être justifiée par des raisons de sécurité.

De plus, le 30 juin 2016, la CNIL adopte deux nouvelles autorisations uniques pour encadrer l’utilisation de la biométrie à des fins de contrôle d’accès sur le lieu de travail, quelle que soit la technologie utilisée.  Après avoir longtemps établi une distinction entre les technologies d’identification biométrique dites « à traces » et « sans traces », la CNIL anticipe les dispositions du nouveau règlement européen applicable en 2018 (GDPR). Elle considère désormais que toutes les données biométriques doivent être considérées comme « laissant des traces ».

Il est probable que de nombreux utilisateurs aient du mal à suivre l’évolution de ces dispositions et à faire la distinction entre réglementation applicable à des fins de contrôle horaire et à des fins de contrôle d’accès, applications proches fonctionnellement dans les entreprises et utilisées le plus souvent par les mêmes personnes.

 

CNIL et biométrie : le point sur les réglementations en matière de contrôle des horaires

 

Des fournisseurs qui entretiennent la confusion

5 ans après une délibération claire, interdisant sans ambiguïté l’utilisation de toute technologie biométrique pour du contrôle horaire, de nombreuses offres sont toujours disponibles sur le marché français, le plus souvent sans aucune information à l’utilisateur sur les dispositions réglementaires et sur les risques encourus. Il suffit de taper « pointeuse biométrique » sur un moteur de recherche pour le constater. Ainsi, certaines entreprises, le plus souvent des PME ou TPE, continuent de déployer des technologies d’ores et déjà illicites. Or, au regard des dispositions actuelles, une telle installation se fait sous l’entière responsabilité de l’employeur, le seul point pouvant être reproché au fournisseur étant éventuellement un manquement à son obligation de conseil.

Certains fournisseurs ont par ailleurs tenté de contourner cet obstacle en proposant des technologies non directement biométriques mais s’en approchant. On trouve ainsi sur le marché des pointeuses avec prise de photo de l’employé qui pointe, le salarié s’identifiant en saisissant ou sélectionnant son matricule dans une liste affichée sur la pointeuse. Les données biométriques ne sont ainsi pas utilisées directement pour l’identification du salarié, mais pour s’assurer à postériori que la personne qui s’est enregistrée avec son matricule était la bonne. La CNIL s’est saisie de cette situation et va délibérer à ce sujet. Dans l’état actuel, il existe donc un risque pour les entreprises déployant cette technologie qu’elle soit encadrée dans les mois à venir.

 

De nouvelles dispositions avec la GDPR

Le règlement européen (GDPR) qualifie les données de biométrie comme des catégories particulières de données qui sont par nature particulièrement sensibles du point de vue des libertés et des droits fondamentaux. Cette réglementation va ainsi obliger à prendre de nouvelles mesures de protection pour ces fichiers. Avec la GDPR, la responsabilité des fournisseurs sera également engagée si les solutions proposées ne garantissent pas une utilisation et une protection conformes. Ceci aura probablement pour effet de voir disparaître du marché les offres biométriques proposées actuellement pour le contrôle horaire.

 

EN BREF

  • Toute utilisation de technologies biométriques pour du pointage horaire est interdite ;
  • Les entreprises qui utilisent encore ces technologies doivent se mettre en conformité de toute urgence ;
  • En cas de doute sur une technologie proposée, ne pas hésiter à consulter la CNIL ;
  • Les dispositions de la GDPR vont encore renforcer les contraintes encadrant ces usages ;
  • L’usage de la biométrie reste possible pour le contrôle d’accès, en privilégiant des solutions conformes aux dispositions de la CNIL (ex : P2 Bio d’Horoquartz).

 

Thierry Bobineau, Directeur Marketing chez Horoquartz

Thierry Bobineau - blog Horoquartz