En décembre 2018, le responsable de traitement a mis en place un système de reconnaissance faciale pour surveiller la présence de ses employés sur le lieu de travail et leur permettre d’accéder à ses locaux. De plus, il a également commencé à utiliser un logiciel pour enregistrer les tâches effectuées par chaque employé.

Le 5 octobre 2021, une personne concernée a déposé une plainte auprès de l’autorité italienne de protection des données (APD ; Garante per la protezione dei dati personali), arguant que cette activité de traitement était contraire au RGPD.

Le responsable du traitement a indiqué qu’il avait fourni à chaque personne concernée la politique de confidentialité, conformément à l’article 13 du RGPD, et qu’il avait ensuite obtenu son consentement pour le traitement de ces données. Il a soutenu que la mise en œuvre du système de reconnaissance faciale avait pour objectif d’améliorer l’efficacité de l’entreprise et la qualité de ses produits.

Par ailleurs, le responsable du traitement a précisé avoir procédé à une analyse d’impact (AIPD) avant de mettre en œuvre ce traitement.

Dans une décision 10029500 du 06.06.2024, présentée et commentée sur gdprhub (https://gdprhub.eu/index.php?title=Garante_per_la_protezione_dei_dati_personali_(Italy)_-_10029500&mtc=today), l’APD a souligné que les données traitées par un système de reconnaissance faciale sont des données biométriques au sens de l’ article 4(14) du RGPD . Par conséquent, leur traitement relève du champ d’application de l’ article 9(1) du RGPD et est, en principe, interdit. L’APD estime que le traitement des données biométriques a lieu à la fois lors de l’acquisition des caractéristiques biométriques de la personne concernée (par exemple, lors de la première prise de photo de la personne concernée) et lors de la reconnaissance faciale proprement dite.

L’APD a rappelé que l’article 9(2)(b) du RGPD introduit une exception à cette interdiction dans le domaine de l’emploi et de la sécurité sociale. Toutefois, certaines conditions doivent être remplies pour appliquer cette exception : (1) le traitement doit être nécessaire aux fins de l’exécution des obligations et de l’exercice des droits spécifiques du responsable du traitement ou de la personne concernée et (2) il doit être autorisé par le droit de l’Union ou des États membres ou par une convention collective qui (3) prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée. L’APD a noté qu’il n’existe aucune législation nationale dans le cas d’espèce qui prévoie une telle autorisation.

En outre, l’APD n’a pas retenu l’argument du responsable du traitement concernant le consentement. L’APD a rappelé que, dans une relation de travail, le consentement ne peut être considéré comme une base juridique valable en raison du caractère déséquilibré de cette relation. Par conséquent, l’APD a déclaré que le traitement de données biométriques dans le but de surveiller la présence sur le lieu de travail est interdit et a constaté une violation de l’article 9(1) du RGPD .

Deuxièmement, l’APD a souligné que ce traitement violait également le principe de minimisation des données, prévu par l’article 5(1)(c) du RGPD. Elle a estimé que le responsable du traitement n’était pas en mesure de prouver que ce type de traitement était nécessaire et proportionné, d’autant plus qu’il existe des moyens moins intrusifs d’enregistrer la présence.

Troisièmement, l’APD a constaté que les données biométriques étaient conservées jusqu’à la résiliation du contrat de travail. L’APD a estimé que cette durée était excessive et a donc constaté une violation de l’ article 5(1)(e) du RGPD .

En ce qui concerne la politique de confidentialité, l’APD a estimé qu’elle était incomplète et qu’elle manquait des éléments prévus par l’article 13 du RGPD . Par conséquent, elle a constaté une violation des principes de transparence et d’équité conformément à l’article 5(1)(a) du RGPD .

Enfin, en ce qui concerne le logiciel de gestion du temps, l’APD a souligné que, dans ce cas également, les informations fournies à la personne concernée étaient incomplètes et que le responsable du traitement n’avait pas prouvé disposer d’une base juridique légale pour ce traitement.

Me Philippe Ehrenström, avocat, LLM