La personne concernée, une ancienne employée du responsable de traitement, s’est plainte auprès de l’autorité espagnole de protection des données (APD ; Agencia Española de Protección de Datos) de la pratique du responsable du traitement consistant à utiliser des scans des visages des employés pour enregistrer les entrées et sorties du lieu de travail.

L’APD a notamment considéré, dans une décision EXP202212247 du 17.01.2025, traduite et résumée sur gdprhub (https://gdprhub.eu/index.php?title=AEPD_(Spain)) ce qui suit :

1. Traitement des données biométriques

L’APD considère que dans le cas présent, des instruments techniques automatisés sont utilisés qui permettent l’identification permanente et univoque, issue de l’identité biologique de chaque employé.

L’APD a établi que chaque scan du visage d’un employé est comparé à la base de données contenant tous les scans des visages des employés et pas seulement les données biométriques enregistrées de l’individu. Cela implique qu’une opération de traitement a lieu.

En ce qui concerne la question de savoir si les données étaient ou non des données biométriques et si ces données ont été traitées ou non, l’APD a estimé que les données traitées sont liées à l’identification de la personne concernée dans chaque journal d’accès et constituent donc des données biométriques.

2. Traitement des données biométriques : base légale, proportionnalité

Conformément à l’article 9 du RGPD , le traitement des données biométriques est en principe interdit. L’APD a estimé que l’« exception relative au travail » à cette interdiction générale prévue à l’article 9(2)(b) du RGPD pouvait s’appliquer au cas d’espèce. Le motif de traitement prévu à l’article 9(2)(b) du RGPD ne peut toutefois être retenu que s’il existe une disposition du droit national qui exige le traitement des données. Cependant, l’APD a conclu qu’aucune disposition de ce type n’existait dans le droit espagnol, ce qui rendait le motif de traitement prévu à l’article 9(2)(b) du RGPD inapplicable au cas d’espèce.

L’APD a estimé que, même si tel n’était pas le cas, l’élément de « nécessité » n’était pas rempli. En fait, les objectifs visés auraient pu être atteints par d’autres moyens. Cela a été confirmé par le fait que le système avait depuis été abandonné par le responsable du traitement, au profit d’un système de carte d’identité.

Ainsi, l’APD a estimé qu’aucun motif légal pour le traitement des données biométriques en vertu de l’article 9(2) du RGPD n’était applicable.

3. Analyse d’impact

Les données biométriques étant des données sensibles, elles ne doivent être traitées que lorsqu’il n’existe aucun risque pour les droits et libertés des personnes. Par conséquent, comme le prévoit l’article 35 du RGPD , tout traitement considéré comme présentant un risque élevé pour les droits et libertés des personnes physiques doit être légitimé par une analyse d’impact relative à la protection des données, décrivant le traitement en détail.

L’APD a établi que le traitement des données biométriques à des fins de contrôle du travail a commencé en 2016. Le responsable du traitement a reconnu qu’il ne savait pas si une AIPD avait été réalisée ou non.

Considérant que le responsable du traitement n’a pas fourni d’AIPD concernant le traitement des données biométriques, l’APD a estimé que le responsable du traitement avait violé l’article 35 du RGPD .

Me Philippe Ehrenström, avocat, LLM