Se connecter
Service & Contact Securex.be
Se connecter
Nieuws
  • RGPD & privacy
  • 2 déc 2024

45 000 euros d’amende pour l’enregistrement du temps par le biais d’empreintes digitales

Des collègues qui pointent les uns pour les autres : voilà une situation que les employeurs n’apprécient guère et qui les incite à opter pour une pointeuse avec empreintes digitales. Cependant, ceci est contraire au RGPD, a estimé l’Autorité belge de protection des données. Un employeur s’est en effet vu récemment infliger € 45 000 d’amende.

Du badge à l’empreinte digitale

Bon nombre d’employeurs instaurent un système d’enregistrement du temps (pointeuse) par le biais de leur règlement de travail pour contrôler les prestations de travail de leurs collaborateurs. Dans certains secteurs, un enregistrement du temps est en outre obligatoire. C’est aussi le cas si vos collaborateurs travaillent dans un régime d’horaires flottants.

La plupart des systèmes d’enregistrement du temps fonctionnent avec un badge, via un smartphone ou un système de connexion via le PC de votre travailleur. Certaines pointeuses permettent à vos travailleurs de s’identifier via leurs empreintes digitales. L’employeur stocke celles-ci (données traitées) dans une base de données permettant ainsi au travailleur de s’identifier dans le système.

L’avantage est de compliquer davantage la fraude. L’Autorité de protection des données a toutefois estimé que de tels systèmes d’enregistrement sont inacceptables, même si le travailleur a donné préalablement son consentement.

Historique : le travailleur avait donné son consentement

Dans l’entreprise, chaque travailleur enregistrait ses prestations de travail via un système d’enregistrement du temps par le biais d’empreintes digitales. C’était le seul système avec lequel les travailleurs pouvaient enregistrer leur temps de travail.

Lors de l’accueil de nouveaux membres du personnel, chaque travailleur donnait son consentement à cette fin. En outre, cette forme d’enregistrement du temps était reprise dans la brochure d’accueil et dans le règlement de travail. Lors de l’instauration du système, aucune remarque n’a été formulée ni par le personnel ni par les délégués syndicaux. Les membres du personnel ont déclaré préférer cette forme d’enregistrement à un système de badges.

L’employeur a introduit le système aux fins suivantes : l’enregistrement du temps de travail pour payer le salaire, prévenir la fraude et assurer la sécurité en sachant toujours qui est présent sur le lieu de travail en cas d’incendie ou de contrôle. On pouvait également utiliser ce système pour contrôler l’accès au bâtiment. Ce contrôle d’accès n’a toutefois pas été activé.

Un ancien travailleur a déposé une plainte auprès de l’Autorité de protection des données contre son ancien employeur. Le plaignant estimait que le traitement de ses empreintes digitales était une violation de son droit à la protection des données à caractère personnel. Il a argumenté qu’il n’avait pas communiqué volontairement ses empreintes digitales et qu’il n’avait pas été informé des modalités de stockage de ses données et du délai de conservation de celles-ci.

Après un rapport d’inspection négatif de l’Autorité de protection des données - et avant que la Chambre contentieuse n’ait traité l’affaire - l’employeur a mis fin au système d’enregistrement du temps en question.

Comment raisonne l’Autorité de protection des données ?

Nous commentons ci-dessous uniquement la décision de l’Autorité de protection des données à propos de l’utilisation du système d’enregistrement du temps dans le cadre de la relation de travail.

Base juridique choisie : le consentement

L’examen se penche surtout sur la question de savoir si le traitement des données biométriques s’est déroulé légalement. L’employeur doit invoquer une des bases juridiques et démontrer dans le cadre de celle-ci que le traitement est approprié vis-à-vis de la finalité du traitement. Il ne peut pas changer de base juridique dans son argumentation parce que les conditions et conséquences diffèrent par base juridique. Dans cette affaire, l’employeur invoque le consentement donné.

Bases juridiques du RGPD

Le règlement général sur la protection des données (RGPD, ou GPDR en anglais) connaît six bases juridiques pour le traitement des données et le consentement en est une.

En savoir plus sur les six bases juridiques sur le site de l’APD

Conformément à la base juridique relative au consentement, il est exceptionnellement possible de traiter des données biométriques telles que des empreintes digitales, alors que c’est normalement interdit. Le consentement doit toutefois remplir des critères stricts. Il doit être donné de manière libre, spécifique, éclairée et univoque. Cela signifie que les travailleurs peuvent vraiment choisir, savent exactement pour quoi ils donnent leur consentement, sont complètement informés et opèrent un choix clair et actif.

Que dit le RGPD à propos des données biométriques ?

Les données biométriques sont une catégorie particulière de données à caractère personnel qui requièrent une justification supplémentaire pour pouvoir être traitées. Leur traitement est interdit, sauf s’il existe une exception légale.

Pour pouvoir utiliser des empreintes digitales de manière conforme aux règles RGPD, un consentement libre, spécifique, éclairé et univoque est nécessaire.

En tant qu’employeur (responsable du traitement), vous devez également indiquer à quelles fins vous utilisez ces données (la finalité du traitement). Pour atteindre cette finalité, vous devez opter pour un traitement de données qui soit adéquat et pertinent en la matière et qui, en outre, ait le moins d’impact sur la vie privée de votre travailleur pour atteindre la finalité (principe du traitement minimal des données). Le traitement doit donc être proportionné à la finalité poursuivie.

Le rapport d’autorité empêche le libre consentement

La Chambre Contentieuse a estimé qu’il ne peut être question de libre consentement parce qu’« il est peu probable que le travailleur puisse refuser de donner son consentement sans crainte ou menace réelle de conséquences néfastes à la suite de ce refus, et ce, en raison du déséquilibre des pouvoirs lié au contexte du travail/à la relation de travail ». 

Qu’entend-on par consentement libre ?

Votre travailleur doit vraiment avoir le choix d’accepter ou de refuser. Ce n’est pas le cas lorsque :

  • Un refus de consentir a des conséquences néfastes
  • Il y a un déséquilibre entre la personne concernée (le travailleur) et le responsable du traitement (l’employeur)
  • On ne peut pas donner un consentement distinct pour plusieurs opérations de traitement
  • Le consentement est un élément non négociable des conditions générales
  • La personne concernée ne peut pas retirer son consentement à tout moment

En savoir plus sur le consentement sur le site de l’APD

Autrement dit : le rapport d’autorité entre un employeur et un travailleur empêche le consentement libre. Celui-ci ne peut être donné que si un refus ne peut avoir de conséquences négatives pour le travailleur. C’était bien le cas puisqu’aucune autre option d’enregistrement n’était prévue et que le salaire était calculé sur la base des heures enregistrées. Le règlement de travail prévoit également des sanctions lorsqu’il manque des heures enregistrées.

Le consentement tacite ne suffit pas

Dans cette affaire, le travailleur n’avait en outre pas donné un consentement actif et explicite, affirme l’APD. L’employeur ne peut déduire le consentement du fait que personne n’a protesté. La brochure d’accueil et le règlement de travail ont uniquement été signés pour réception.

Consentement univoque

Votre travailleur doit poser un acte clair, positif ou actif. Toute ambiguïté ou tout doute quant à la volonté de votre travailleur doivent être exclus. Il peut aussi bien s’agir d’une déclaration écrite que d’une déclaration verbale ainsi que d’un acte spécifique duquel ressort le consentement univoque. Un consentement tacite, indicatif ou implicite ne suffit pas.

L’employeur doit suffisamment informer

La Chambre Contentieuse a par ailleurs estimé que le travailleur n’était pas suffisamment informé. Préalablement à l’entrée en service, l’employeur avait uniquement remis une brochure d’accueil aux travailleurs. Celle-ci n’était pas suffisamment documentée pour répondre aux exigences du RGPD. Le règlement de travail n’a été adapté qu’après le dépôt d’une plainte, lorsque le traitement des données avait déjà eu lieu.

Consentement éclairé

Le travailleur qui donne son consentement doit comprendre ce pour quoi il le donne et à quelle fin. Cela n’est possible que si vous, en tant qu’employeur, informez préalablement la personne concernée à ce sujet. Cette information doit être complète, claire et formulée dans un langage compréhensible pour que votre travailleur puisse décider en connaissance de cause. Vous devez également faire en sorte que vos travailleurs prennent effectivement connaissance de ces informations, le fait qu’elles soient accessibles ne suffit pas.

Impact disproportionné sur la vie privée

Comme le traitement initial était illégal, l’APD déclare chaque finalité pour laquelle le traitement des données a eu lieu comme illégale. De plus, l’employeur pouvait opter pour des systèmes moins intrusifs pour atteindre les finalités invoquées. Donc même si le traitement était légal, la méthode utilisée n’a pas répondu au traitement minimal de données pour atteindre les finalités poursuivies.

Autres infractions

La Chambre Contentieuse estime par ailleurs que l’employeur :

  • N’a pas suffisamment estimé les risques en matière de protection des données stockées et qu’il n’y a eu aucune évaluation de l’effet des activités de traitement. Celle-ci était nécessaire vu que des données biométriques ont été traitées et que les risques pour la vie privée du travailleur sont considérables en cas de piratage, vol d’identité ou accès illicite
  • A dressé un registre des activités de traitement incomplet

Qu’a décidé l’APD ?

L’Autorité de protection des données a condamné l’employeur au paiement d’une amende administrative de 45 000 euros pour le traitement illégal de catégories particulières de données à caractère personnel, le non-respect des principes de limitation des finalités et de minimisation des données, ainsi que le manque d’informations sur le traitement des données.

L’employeur a également été réprimandé pour les infractions concernant les obligations de documentation (pas d’analyse d’impact relative à la protection des données, registre des activités de traitement incomplet).

Que signifie cette décision pour vous en tant qu’employeur ?

En tant qu’employeur, vous ne pouvez pas instaurer un système d’enregistrement par le biais des empreintes digitales sur la base du consentement de votre travailleur. Il n’a pas été examiné si cela est possible sur la base d’un autre fondement juridique, mais cela nous paraît particulièrement difficile, voire impossible à démontrer. En tout cas, vous devrez mettre à disposition un autre système.

Pour l’ouverture des portes d’accès de l’atelier, un système avec empreintes digitales nous semble toutefois possible, surtout lorsque des mesures de sécurité particulières sont nécessaires. Songez au stockage de matières premières toxiques ou explosives. Mais vous devrez alors justifier le traitement sur la base d’un autre fondement juridique que le consentement.

Protégez la vie privée de vos RH avec Securex

En tant que votre secrétariat social, nous nous ferons un plaisir de vous aider pour tous les aspects relatifs à la vie privée sur le lieu de travail. N’hésitez pas contacter nos experts pour obtenir des modèles de documents pratiques et des conseils.

Vous avez d’autres questions ou souhaitez discuter de votre situation spécifique ? Votre Securex Legal Advisor est à votre disposition pour analyser la situation avec vous ! N’hésitez pas à envoyer un e-mail à l’adresse suivante : myHR@securex.be.

Sources

RGPD & privacy
Sur cette page
    Règlement de travail et guide
    Dernière mise à jour le 12 décembre 2023 - Word
    Commandez ici
    Cela pourrait aussi vous intéresser
    Actualité
    11 mars 2024

    Cybersécurité important pour toute entreprise

    Lire plus
    Réductions ONSS
    13 sept. 2023

    Nouvelle réduction « chômeurs de longue durée »

    Lire plus
    Directive lanceurs d'alerte
    29 août 2023

    Matière de durabilité : soyez attentifs

    Lire plus

    Cookies sur securex.be 

    Notre site utilise des cookies afin de fonctionner de manière optimale et de vous offrir la meilleure expérience de navigation possible. Ainsi, nous vous garantissons  une meilleure expérience utilisateur et un meilleur service, des offres personnalisées et des informations pertinentes qui correspondent à vos centres d’intérêt. Vous souhaitez obtenir plus d'informations sur l'utilisation de vos données ? Consultez notre documentation en ligne:

    Cookies sur securex.be