L’employeur (responsable de traitement) gère un cabinet de radiologie et, jusqu’au 1er août 2018, il utilisait des feuilles de temps imprimées pour comptabiliser le nombre d’heures travaillées par les employés. Il a ensuite introduit un système d’enregistrement du temps de travail qui utilisait les empreintes digitales des employés.

L’employé (personne concernée) a refusé d’utiliser le nouveau système de pointage par empreinte digitale et a continué à noter manuellement les heures travaillées sur les anciennes feuilles de temps. Le 5 octobre 2018, l’employé a reçu un premier avertissement écrit de son employeur, l’exhortant à commencer à utiliser le système d’empreintes digitales. Malgré l’avertissement, il a refusé de le faire et a continué à utiliser les feuilles de temps imprimées. Le 26 mars 2019, l’employé a reçu un deuxième avertissement qui le menaçait de la possibilité de mettre immédiatement fin à son emploi s’il continuait à refuser d’utiliser le système d’empreintes digitales.

Selon un arrêt du Landesarbeitsgericht Berlin-Brandenburg 10 Sa 2130/19 du 04.06.2020, les avertissements doivent être annulés car l’employé n’était pas obligé d’utiliser le système d’empreintes digitales pour enregistrer son temps de travail et n’avait donc pas violé ses obligations.

Rappelons que les empreintes digitales sont des données biométriques au sens de l’art. 4 ch. 14 RGPD, dont le traitement est interdit sauf si le responsable de traitement peut se prévaloir d’un des motifs de l’art. 9 par. 2 RGPD.

En l’espèce, les seuls motifs légaux possibles pour le traitement de données en cause pouvaient être l’art. 9 par. 2 let. a ou b RGPD.

Étant donné que l’employé n’avait manifestement pas donné son consentement, la décision applique l’art. 9 par. 2 let. b, dont la teneur est la suivante : « le traitement est nécessaire aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l’Union, par le droit d’un État membre ou par une convention collective conclue en vertu du droit d’un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée ».  

La Cour a conclu que l’intérêt d’un employeur à mettre en place des systèmes de contrôle d’accès biométrique à des zones contenant des secrets commerciaux, de production et de développement sensibles serait plus susceptible de prévaloir que dans le contexte d’un système de suivi du temps de travail. Par conséquent, dans ce cas, le système n’a pas été considéré comme nécessaire, malgré les affirmations de l’employeur selon lesquelles le système pourrait rendre plus difficile la manipulation des enregistrements des heures de travail par les employés. L’employeur ne pouvait donc pas invoquer l’art. 9 par. 2 let. b RGPD.

La question de savoir si des garanties techniques et organisationnelles appropriées, telles que la pseudonymisation, sont prises ne se pose que si la nécessité du traitement est d’abord affirmée et qu’il est établi qu’il n’y a pas de conflits avec les intérêts dignes de protection de la personne concernée.

(Décision originale : https://gesetze.berlin.de/bsbe/document/JURE200011045; présentée et traduite en anglais ici : https://gdprhub.eu/index.php?title=LAG_Berlin-Brandenburg_-_10_Sa_2130/19).

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)