Une société (responsable de traitement) a mis en place un système d’enregistrement du temps de travail basé sur la collecte d’empreintes digitales. Elle a utilisé un logiciel fourni par un tiers (un sous-traitant), filiale d’une société japonaise, opérant également aux États-Unis et en Chine.

Un employé (personne concernée) a déposé une demande d’accès auprès du responsable du traitement à deux reprises. La première a reçu une réponse orale, lors de l’entretien avec le représentant du syndicat et avec le responsable de traitement. L’autre réponse n’a couvert que partiellement les questions posées par la personne concernée, par exemple en fournissant une liste partielle des finalités de traitement poursuivies par le responsable de traitement ou en ne répondant pas à la question des conséquences d’un éventuel refus de consentement de la personne concernée au traitement de ses données biométriques.

La personne concernée dépose une plainte auprès de l’autorité de protection belge (APD ; Gegevensbeschermingsautoriteit).

Selon les documents fournis par le responsable du traitement, le traitement des empreintes digitales avait pour finalité l’enregistrement du temps de travail (y compris l’établissement des fiches de paie) ; la prévention de la fraude ; des raisons de sécurité, notamment pour savoir à tout moment combien de personnes sont présentes sur le site de production en cas d’incendie; et le contrôle des accès au bâtiment de l’employeur.

Au cours de l’enquête, le responsable du traitement n’a pas présenté de base juridique pour le traitement, ni de règles concernant la durée de conservation, ni n’a pu fournir de politique écrite de sécurité et de confidentialité.

Dans une décision APD/GBA – 114/2024 du 6 septembre 2024, présentée et commentée sur gdprhub (https://gdprhub.eu/index.php?title=APD/GBA_(Belgium)_-_114/2024&mtc=today), l’APD considère notamment ce qui suit :

L’APD souligne que le responsable de traitement traitait des données biométriques en vertu de l’article 4(14) du RGPD et, par conséquent, des catégories particulières de données à caractère personnel en vertu de l’article 9(1) du RGPD, car les données biométriques étaient utilisées pour identifier la personne concernée.

Le responsable de traitement n’a pas précisé sur quelle base juridique, au titre de l’article 6(1) du RGPD et de l’article 9(2) du RGPD , les données concernées étaient traitées. Après enquête, l’APD a considéré qu’il s’agissait du consentement. Néanmoins, le consentement obtenu par le responsable de traitement n’est pas valide (i) en raison de l’absence d’informations pertinentes fournies à la personne concernée et (ii) parce que le consentement n’a pas été donné librement, car il s’insérait dans la relation de travail et le responsable du traitement n’a pas mis en œuvre un mécanisme alternatif d’enregistrement du temps de travail.

Par ailleurs, le responsable du traitement a violé l’article 5(1)(c) du RGPD , car il s’est appuyé sur un mécanisme intrusif pour la gestion du temps de travail, alors que d’autres solutions potentiellement moins intrusives étaient disponibles pour poursuivre les objectifs du responsable de traitement, par exemple des horloges de pointage ou des cartes personnelles.

Enfin, l’article 35 du RGPD a été violé. Aucune étude d’impact relative à la protection des données n’a été réalisée, alors que le traitement incluait des catégories particulières de données des employés et constituait un traitement à grande échelle (environ 200 employés). En outre, le registre des activités de traitement du responsable du traitement manquait, entre autres, d’une description appropriée des catégories de données traitées.

Me Philippe Ehrenström, avocat, LLM