Un ancien employé (personne concernée) dépose une plainte contre Consorcio ESS-Bilbao (responsable de traitement ; une entreprise de construction d’infrastructures) auprès de l’autorité espagnole de protection des données (APD ; Agencia Española de Protección de Datos), dans laquelle il demande à l’autorité de déterminer si la mise en œuvre d’un système biométrique de reconnaissance des empreintes digitales pour contrôler les heures de travail des employés était conforme au GDPR.

Le consortium avait conclu un accord avec Robotics, une société spécialisée dans les systèmes biométriques, qui a été désignée comme sous-traitant. Robotics, à son tour, avait un contrat avec Microsoft Ireland Operations LTD pour le stockage de données informatiques en nuage, opérant en qualité de sous-traitant.

L’entreprise a déclaré qu’elle avait préalablement informé les travailleurs que ce système serait mis en œuvre progressivement et qu’elle fondait ce traitement de données à caractère personnel sur l’art. 6 par. 1 let. a RGPD (texte du RGPD : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679), après avoir obtenu le consentement explicite de ses employés pour le traitement de données à caractère personnel qu’impliquait ce système. En outre, l’entreprise a déclaré que le traitement était également licite en vertu de l’art. 6 par. 1 let. b  et c RGPD, étant donné que le contrôle effectif des heures de travail était nécessaire à l’exécution du contrat de travail et qu’il s’agissait d’une obligation légale pour une entreprise en vertu du droit espagnol, respectivement.

En outre, l’entreprise a fait valoir que ce système ne constituait pas un traitement de catégories particulières de données à caractère personnel au sens de l’art. 9 RGPD parce que la reconnaissance de l’empreinte digitale générait un numéro interne et une valeur de hachage non réversible, et qu’il n’y avait pas d’enregistrement de l’image de l’empreinte digitale proprement dite.

Lorsque la plainte a été déposée, l’entreprise a décidé de remplacer le système d’enregistrement biométrique des empreintes digitales par un autre système utilisant les cartes d’identification des employés.

L’APD, dans une décision PS/00052/2021 du 21.01.2022 (texte original : https://www.aepd.es/es/documento/ps-00052-2021.pdf; présenté et commenté ici : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_PS/00052/2021), souligne d’abord la tendance croissante à l’utilisation de systèmes biométriques et leur caractère intrusif pour les droits fondamentaux des personnes concernées, ainsi que les dangers de la centralisation des données biométriques stockées, qui augmente les risques de violation des données et d’accès illégal à celles-ci.

L’APD a estimé qu’en l’espèce, bien que l’image de l’empreinte digitale elle-même ne soit pas stockée, le fait que des valeurs numériques et de hachage basées sur l’empreinte digitale soient introduites dans des modèles qui enregistrent des caractéristiques physiques et peuvent être utilisées pour identifier individuellement une personne concernée, signifiait que ces données devaient être considérées comme une catégorie spéciale de données à caractère personnel sur la base de l’art. 9 par. 1 RGPD.

L’APD a ensuite évalué si l’utilisation d’un système de registre biométrique était adéquate, nécessaire et proportionnelle au regard de la finalité poursuivie. Bien que la loi espagnole impose effectivement l’obligation de contrôler les heures de travail effectives et les tâches effectuées par les employés, elle n’indique pas de méthode ou de système spécifique pour ce faire. L’APD a estimé qu’avant de mettre en œuvre un système de reconnaissance d’identité basé sur les empreintes digitales, l’entreprise aurait dû évaluer s’il existait une mesure moins intrusive permettant d’atteindre le même objectif.

L’APD estime par ailleurs qu’une analyse d’impact sur la protection des données (DPIA) au sens de l’art. 35 RGPD aurait dû être effectuée dans ce cas, et que le fait que l’entreprise ne l’ait pas fait constituait une violation flagrante du RGPD.

Me Philippe Ehrenström, avocat, LLM, Genève et Onnens (VD)