CNIL et biométrie pour le contrôle des horaires : fin de la période de grâce

biométrie

13/09/2017


5 ans après que la CNIL a interdit l'utilisation de l'identification biométrique à des fins de contrôle horaire, les entreprises doivent se mettre en conformité.

En 2012, après une large consultation d'organisations syndicales et patronales, de professionnels du secteur, et de la Direction Générale du Travail, la CNIL était arrivée à la conclusion que les technologies d'identification non biométriques étaient suffisantes pour la gestion des horaires. Elle avait pointé les risques de détérioration du climat social en raison d'un recours trop systématique aux technologies biométriques par les employeurs.

Dans  sa délibération No 2012-322 du 20 septembre 2012, la CNIL précisait ainsi : « .... Un consensus s'est clairement exprimé considérant l'utilisation de la biométrie aux fins de contrôle des horaires comme un moyen disproportionné d'atteindre cette finalité.... », et par conséquent interdisait l'utilisation de ces technologies pour cette finalité.

Point important : la CNIL laissait 5 ans à compter de cette délibération aux entreprises ayant déjà déployé des solutions biométriques pour le contrôle horaire, afin de se mettre en conformité avec ces nouvelles dispositions. Cette décision s'appliquait quelle que soit la technologie utilisée, y compris la reconnaissance du contour de la main.  Ce qui signifie qu'à partir de septembre 2017, toute utilisation de technologie biométrique à des fins de gestion des horaires se fait en infraction aux dispositions de la CNIL. Cette situation pourrait engager la responsabilité civile et pénale de l'employeur en cas de recours de salariés, d'IRP ou de tiers.

Une distinction avec le contrôle des accès

En septembre 2012, la CNIL interdit donc la biométrie à des fins de gestion de présence, mais laisse cette possibilité pour le contrôle d'accès considérant qu'elle peut être justifiée par des raisons de sécurité.

De plus, le 30 juin 2016, la CNIL a adopté deux nouvelles autorisations uniques pour encadrer l'utilisation de la biométrie à des fins de contrôle d'accès sur le lieu de travail, quelle que soit la technologie utilisée.  C'est dans ce cadre qu'Horoquartz a conçu son offre P2 Bio, une solution qui respecte les préconisations de la CNIL dans le domaine de la sécurité.

Cette différence de doctrine entre la gestion des horaires et le contrôle des accès a pu entretenir une certaine confusion auprès du public, s'agissant d'applications proches fonctionnellement et souvent utilisées par les mêmes personnes.

Mais concernant la gestion des temps, la situation est très claire : aucune technologie biométrique ne peut être utilisée.

Des fournisseurs qui entretiennent la confusion

5 ans après une délibération claire, interdisant sans ambiguïté l'utilisation de toute technologie biométrique pour le contrôle horaire, de nombreuses offres sont toujours disponibles sur le marché français, le plus souvent sans aucune information à l'utilisateur sur les dispositions réglementaires et sur les risques encourus. Il suffit de taper 'pointeuse biométrique' sur un moteur de recherche pour le constater. Ainsi, certaines entreprises, le plus souvent des PME ou TPE, continuent de déployer des technologies d'ores et déjà illicites. Or, au regard des dispositions actuelles, une telle installation se fait sous l'entière responsabilité de l'employeur, le seul point pouvant être reproché au fournisseur étant éventuellement un manquement à son obligation de conseil.

L'obligation de se mettre en conformité

La période des 5 ans que la CNIL avait laissée aux entreprises ayant mis en place un système biométrique pour le contrôle des horaires touche donc à sa fin. Il est vivement recommandé aux sociétés ayant déployé ce genre de solution et qui n'auraient pas déjà basculé vers des systèmes traditionnels de se rapprocher de leur ingénieur commercial pour envisager cette migration.