L’utilisation des empreintes digitales pour l’enregistrement du temps de travail n’est, selon l’interprétation actuelle du RGPD, dans de nombreux cas plus autorisée, en particulier en Belgique et dans de nombreux autres États membres de l’UE. Voici pourquoi :
Pourquoi ce n’est pas conforme au RGPD
1. Les données biométriques constituent une « catégorie particulière de données »
En vertu de l’article 9 du RGPD, les empreintes digitales sont considérées comme des données biométriques — une forme de « catégorie particulière de données à caractère personnel » qui nécessite une protection renforcée.
Lire également les articles suivants :
- « Belgian Data Protection Authority fines employer €45,000 for unlawful biometric data processing »
- « Processing of biometric data – Recommendation of the Belgian DPA »
2. Aucune autorisation valable possible dans le contexte professionnel
La liberté de consentement est essentielle. Dans une relation employeur-employé, un consentement libre, éclairé et sans équivoque n’est généralement pas réalisable — le déséquilibre de pouvoir fait que les travailleurs peuvent se sentir contraints d’accepter.
- Dans l’affaire belge évoquée (décision du 6 septembre 2024), l’APD a conclu que :
- l’information fournie était insuffisante ;
- les travailleurs n’avaient pas de véritable choix (le consentement était obligatoire et sans alternative) ;
- aucune analyse d’impact relative à la protection des données (AIPD / DPIA) n’avait été réalisée ;
- des alternatives existaient, telles que des badges, des codes ou des cartes.
Lire également les articles suivants :
- « Fingerprinting in the workplace: legal aspects of biometric time recording »
- « Using fingerprints for time recording may violate GDPR «
3. Violation des principes de minimisation des données et de proportionnalité
Des alternatives moins intrusives et tout aussi efficaces étaient disponibles. L’utilisation des empreintes digitales a donc été considérée comme inutile et disproportionnée.
Lees ook: « Biometric Time Tracking: Why Fingerprint Scanning Requires Employee Consent »
4. Réglementation stricte et sanctions
Dans l’affaire belge évoquée, l’employeur a écopé d’une amende de 45 000 € infligée par l’APD pour ces violations – un signal clair que ces pratiques sont prises très au sérieux.
5. Le stockage autonome constitue une exception (usage privé / domestique)
L’APD reconnaît toutefois une exception, mais uniquement lorsque la biométrie est traitée localement et gérée par la personne elle-même (par exemple sur son propre smartphone), sans aucun accès externe. Cela relève de l’« exception domestique » et n’est pas applicable dans de nombreux contextes professionnels.
Exemples provenant d’autres pays
Au Royaume-Uni, Serco Leisure a été contraint par l’ICO (Information Commissioner’s Office) de cesser l’utilisation des technologies de reconnaissance des empreintes digitales et faciale pour l’enregistrement du personnel — là encore en raison de l’absence de nécessité, d’une atteinte disproportionnée et de l’existence d’alternatives, comme l’a rapporté The Guardian.
Artikel: « Serco ordered to stop using facial recognition technology to monitor staff »
Aux Pays-Bas, l’autorité de contrôle est intervenue à nouveau en infligeant de lourdes amendes (jusqu’à 725 000 €) pour l’utilisation illégale de la biométrie — même lorsque l’objectif était la lutte contre la fraude, cela n’a pas été considéré comme une justification valable dès lors que des moyens moins intrusifs pour la vie privée étaient disponibles, comme l’ont rapporté Taylor Wessing et Reddit.
Articles :
- « Processing employee fingerprint data »
- « Dutch Company Appeals GDPR Fine for Collecting Employee Fingerprints »
Conclusion
Oui, la gestion des temps basée sur les empreintes digitales n’est généralement plus conforme au RGPD dans un contexte professionnel au sein de l’UE. Il existe des précédents juridiques solides, des lignes directrices claires de l’APD, ainsi que des actions de contrôle et de sanction (amendes) qui étayent cette position.
Ce qui pourrait être conforme au RGPD :
- Utiliser des alternatives : systèmes de badges électroniques, codes PIN, cartes RFID, authentification mobile ou géorepérage (geofencing) pour le travail sur le terrain
- Réaliser une DPIA : lorsque des risques élevés pour la vie privée existent, notamment si la biométrie devait être utilisée.
- Information claire : explicite, transparente et compréhensible à l’attention des travailleurs.
- Offrir une option libre : la possibilité de ne pas participer, sans aucune répercussion.