L’utilisation par l’employeur des empreintes digitales des employés

Publié le 8 avril 2024 par Me Philippe Ehrenström
Photo de Towfiqu barbhuiya sur Pexels.com

Le 14 février 2022, une personne concernée a déposé une plainte auprès de l’autorité espagnole de protection des données (AEPD ; Agencia Española de Protección de Datos) contre son employeur, CTC Externalización, SL (responsable du traitement), qui a collecté des données dactyloscopiques (empreintes digitales) auprès des employés pour mettre en œuvre un système de connexion.

Dans son mémoire en défense, le responsable de traitement a déclaré que le lecteur d’empreintes digitales était un système d’authentification et non un système d’identification. À ce titre, il a affirmé que les empreintes digitales n’étaient pas stockées ; au lieu de cela, le lecteur d’empreintes digitales a généré un identifiant numérique correspondant à l’empreinte digitale. L’identifiant numérique, et non l’empreinte digitale, était ensuite stocké dans un système crypté qui comparait les identifiants numériques générés. L’empreinte digitale aurait été immédiatement effacée. En conséquence, le responsable de traitement a affirmé qu’il était impossible de reproduire l’empreinte digitale à partir de l’identifiant numérique. Le responsable du traitement a également indiqué qu’il avait fourni une information sur le traitement des données sur le portail des employés.

L’AEPD, dans une décision AEPD-EXP202202960 s.d. (https://www.aepd.es/documento/ps-00170-2023.pdf, présentée et commentée sur gdprhub : https://gdprhub.eu/index.php?title=AEPD_(Spain)_-_EXP202202960&mtc=today) a considéré que le responsable du traitement avait violé les articles 13 , 32 et 35 du RGPD et lui a infligé une amende de 360 ​​000 €.

Premièrement, l’AEPD a noté que les informations sur le traitement mises à disposition sur le portail des employés violaient l’article 13, paragraphe 2, points d) et e), du RGPD, car elles étaient inexactes, trop générales et insuffisamment informatives. La clause relative au traitement mentionnait uniquement qu’un système de connexion par empreinte digitale était en cours de mise en œuvre ; il ne fournissait aucune information sur la collecte, le traitement ou le stockage des données dactyloscopiques. La clause faisait généralement référence à un certain nombre d’activités et de finalités de traitement et invoquait le contrat comme base juridique pour chacune d’entre elles.

Lors de l’évaluation du caractère adéquat de l’information, l’AEPD a pris note des modifications apportées par le responsable du traitement à celle-ci. Les mises à jour du responsable du traitement font spécifiquement référence au traitement des empreintes digitales et citent les obligations légales en vertu du droit national comme base juridique pour ce traitement. Ils ont également articulé une période de conservation des données différente, indiquant ainsi l’inexactitude de l’information initiale. Enfin, à aucun moment l’information du responsable du traitement n’a indiqué aux personnes concernées leur droit de déposer une plainte auprès de l’AEPD, en violation de l’article 13, paragraphe 2, point d) du RGPD .

Deuxièmement, l’AEPD a estimé que le responsable du traitement avait violé l’article 32 du RGPD car il ne disposait pas de mesures de sécurité suffisantes pour garantir l’effacement et l’intégrité des données dactyloscopiques. En particulier, le responsable du traitement n’a pas démontré comment les données dactyloscopiques pouvaient être effacées après chaque numérisation et n’a pas mis en évidence l’existence de mesures techniques visant à protéger les données personnelles traitées. De plus, même si le hachage de l’empreinte digitale (une valeur numérique représentant l’analyse de l’empreinte digitale) et les identifiants numériques uniques étaient conservés dans des tableaux séparés, le responsable du traitement n’a démontré aucune mesure technique pour garantir que les emplacements de stockage étaient suffisamment séparés.

Enfin, l’AEPD a conclu que le responsable du traitement avait violé l’article 35 du RGPD parce qu’il n’avait pas procédé à des analyses d’impact sur la protection des données pour les données dactyloscopiques, qui constituent pourtant une catégorie particulière de données au sens de l’article 9, paragraphe 1, du RGPD . En plus de présenter des risques élevés pour les personnes concernées, la liste positive publiée par l’AEPD des traitements nécessitant une analyse d’impact sur la protection des données inclut expressément les données biométriques.

En sanctionnant le contrôleur de 360 ​​000 €, l’AEPD a pris en compte la haute sensibilité des données biométriques et a pris en compte la durée de la période d’infraction de plus de deux ans.

[Sur l’utilisation des empreintes digitales par l’employeur, voir aussi :

Utiliser les empreinte digitale pour enregistrer le temps de travail ?
Surveillance biométrique des employés : étude d’impact

Et plus généralement sur l’utilisation des données biométriques par les rh :

https://droitdutravailensuisse.com/2022/12/30/rh-et-donnees-biometriques/%5D

Me Philippe Ehrenström, avocat, LLM, CAS, Genève et Onnens (VD)

Avatar de Inconnu

About Me Philippe Ehrenström

Ce blog présente certains thèmes juridiques en Suisse ainsi que des questions d'actualité. Il est rédigé par Me Philippe Ehrenström, avocat indépendant, LL.M., Yverdon-les-Bains
Cet article, publié dans Protection des données, RGPD, est tagué , , , , . Ajoutez ce permalien à vos favoris.

Laisser un commentaire