«L'évolution aura été constante.
D'abord, le contremaître, personne repérable,
chargé de contrôler la présence physique du salarié
sur son lieu de travail et en activité.
Puis, les « contremaîtres électroniques »
chargés du contrôle de la présence
physique : les badges d'accès.
S'ouvre désormais l'ère du «
contremaître virtuel » pouvant tout exploiter sans que le
salarié en ait toujours parfaitement conscience et permettant, le cas
échéant, au-delà des légitimes contrôles de
sécurité et de productivité des salariés,
d'établir le profil professionnel, intellectuel ou psychologique du
salarié « virtuel ». »
Bouchet, Hubert (2004), La cybersurveillance sur les lieux
de travail406
En raison de l'évolution actuelle du management
dans l'entreprise, l'usage des technologies biométriques y est
particulièrement intéressant. Il faut noter d'une part une
propension plus grande à surveiller les actes et le travail des
employés, d'autre part une délocalisation de celui-ci, qu'on
pourrait qualifier de « déterritorialisation »,
l'employé amenant son travail chez lui dans de nombreux cas (non
limités au télétravail), avec son ordinateur portable, son
téléphone, etc. Or, l'entreprise établit divers moyens de
contrôle à distance de l'employé. La biométrie dans
l'entreprise doit s'apprécier au regard de ce contexte
général.
Outre la loi de 1978, le Code du travail a introduit un
certain nombre de principes concernant le droit à la vie privée
dans l'entreprise, en particulier depuis la loi du 31 décembre
19924°7, qui a introduit le principe de
proportionnalité (art. L12o-2 du Code du travail); le
principe de consultation du comité d'entreprise lors de l'introduction
de nouvelles technologies (article L. 432-2 du Code du travail) ; et celui
d'information préalable des salariés sur tout dispositif de
collecte de données le concernant personnellement (article L. 121-8).
Ces principes ont été rappelés par le TGI de Paris en
2005, jugement qui soulève la question d'une éventuelle atteinte
à « l'intégrité
406 Bouchet, Hubert (2004), La cybersurveillance
sur les lieux de travail, rapport de la CNIL, p.io
4O7 Op.cit.
Chapitre III:La CNIL, texte réglementaire et doctrine p.
157
humaine » ou à la « dignité de la
personne » par l'usage des technologies biométriques (chap. IV).
En 2002, la CNIL a délivré une
autorisation unique concernant l'usage, sur les lieux de travail, de
traitements de données concernant la gestion du contrôle
d'accès, des horaires, et de la restauration, qui excluait
nommément les dispositifs biométriques4°$. La
légitimité de la finalité du contrôle automatique
d'accès ou des horaires n'est donc pas mise en cause par la CNIL; elle
va s'intéresser à la proportionnalité du dispositif eu
égard à ces finalités. Technologiquement, il est tout
à fait possible de délier contrôle d'accès et
contrôle des horaires: il suffit de ne pas enregistrer les passages. La
CNIL, cependant, n'exige de désamorcer de telles mesures de
traçabilité que lorsqu'il s'agit de dispositifs de reconnaissance
d'empreintes digitales sur support central4°9: la
traçabilité, en soi, est une finalité admise, lorsque la
technologie n'est pas « à trace ».
408 Délib. n°21302-1 du 8 janvier
2002 concernant les traitements automatisés
d'informations nominatives mis en oeuvre sur les lieux de travail pour la
gestion des contrôles d'accès aux locaux, des horaires et de la
restauration
4°9 Délib. n°00-056 du 16
nov. 2000 (projet d'arrêté ; ministère de
l'Education; contrôle d'accès; empreintes digitales; cité
académique de Lille).
A. LE CONTRÔLE DES HORAIRES AVEC LES TECHNOLOGIES
« À TRACE »
Chapitre III:La CNIL, texte réglementaire et doctrine p.
158
Nous avons vu que la CNIL, confirmée en cela par le
jugement du TGI de Paris (19 avril 2005), refuse l'instauration de dispositifs
de reconnaissance d'empreintes digitales, stockant les gabarits sur support
central, et poursuivant d'autres finalités que le contrôle
d'accès, notamment le contrôle des horaires4'O Elle
peut toutefois admettre des dispositifs doubles, comme celui
précédemment exposé pour TF1 411 Lorsqu'il s'agit d'un
contrôle d'accès, elle n'admet le stockage sur support central
qu'en cas de « fort impératif de sécurité »; le
dispositif doit sinon stocker les données sur support individuel. La
CNIL avait établi cette distinction générale dès
2004412. De même, elle n'autorise les (rares) dispositifs de
reconnaissance d'iris qu'en cas de « fort
impératif de sécurité
»413.
Malgré le jugement du TGI (cf. infra), elle a
déjà autorisé des dispositifs stockant les empreintes
digitales sur support individuel aux fins mixtes de contrôle
d'accès et de contrôle des horaires4~4,
l'ayant en d'autres occasions refusé en préconisant un
système de reconnaissance géométrique de la main 415
41° Outre les exemples pré-cités, cf.
délib. n°2006-005 du 12 janvier 2006 (refus d'autorisation ;
clinique de Goussonville ; empreinte digitale ; contrôle des horaires)
411 Délib. n°2005-001 du 13
janvier 2005 (TF1 ; contrôle des accès de certains
personnels autorisés à certaines zones sensibles ; empreintes
digitales). Cf. supra.
412 CNIL (2004), « La biométrie sur les
lieux de travail », 29 avril 2004.
413 Délib. n°2005-066 du 20 avril
2005 (Redbus Interhouse SA ; reconnaissance de l'iris ; contrôle
accès aux locaux sensibles).
Délib. n°2005-023 du 17 février 2005, (
Banque de France ; contrôler l'accès aux locaux sensibles).
414 Délib.n°2006-069 du 16 mars 2006 (Brisach SAS
; empreintes digitales; contrôle des horaires et le contrôle de
l'accès aux locaux)
415 Délib. n°2009-025 du 29 janvier 2009 (refus ;
Famer Industrie Maintenance ; empreintes digitales ; contrôle de
l'accès aux locaux et le contrôle des horaires). Voir aussi les
exposés du motif du refus de la délib. n°2008-058 du 6 mars
2008 , où la CNIL préconise un stockage sur support
individuel.
B. LE CONTRÔLE DES HORAIRES AVEC LES
TECHNOLOGIES « SANS
Chapitre III:La CNIL, texte réglementaire et
doctrine p. 159
TRACE »: UN POUVOIR DISCRÉTIONNAIRE DE LA
CNIL ?
En revanche, elle admet tout à fait l'usage de
la géométrie de la main pour le contrôle des horaires des
employés, ou pour la restauration dans l'entreprise, ayant émis
l'autorisation unique 007 du 27 avril 2006 « relative aux dispositifs
biométriques reposant sur la reconnaissance du contour de la main et
ayant pour finalités le contrôle d'accès ainsi que la
gestion des horaires et de la restauration sur les lieux de travail
»416 L'autorisation, qui vaut pour le secteur privé et
public, exclut toutefois les dispositifs établis pour le « compte
de l'Etat » ainsi que ceux des « établissements accueillant
des mineurs, lorsque les personnes concernées sont des mineurs. »
Le gabarit de l'empreinte palmaire, enregistré sur une base de
données (à l'exclusion de toute photographie de l'empreinte) peut
être associé à un « numéro d'authentification
de la personne » (s'il est directement associé à un nom, le
dispositif sort donc du champ de cette autorisation unique). La durée de
conservation des données est fixée (le gabarit doit être
supprimé dès le départ de l'employé de
l'entreprise, les autres données pouvant être conservées
5 ans). En ce qui concerne la traçabilité des
personnes, « les éléments relatifs aux déplacements
des personnes ne doivent pas être conservés plus de trois mois.
Toutefois, les catégories de données relatives aux
déplacements des personnes et aux temps de présence des
employés peuvent être conservées pendant 5
ans lorsque le traitement a pour finalité le contrôle du
temps de travail. » Les instances représentatives du personnel
doivent être consultées et le personnel
informé.
On note ici le caractère complexe
et peu clair de la doctrine de la CNIL, qui délivre cette
autorisation unique (avril 2006) alors qu'elle a refusé, peu de temps
auparavant et à plusieurs reprises, de donner son accord à des
dispositifs semblables417. Par exemple, un an auparavant, elle
refusait l'instauration d'un dispositif de reconnaissance de la main «
dont la finalité principale [était] le
contrôle des horaires des employés et ayant pour finalités
accessoires l'édition de
4i6 Délib. n02006-101 du 27 avril
2006, portant autorisation unique de mise en oeuvre de dispositifs
biométriques reposant sur la reconnaissance du contour de la main et
ayant pour finalités le contrôle d'accès ainsi que la
gestion des horaires et de la restauration sur les lieux de travail.
417 Délib. n°2006-005 du 12 janvier 2006 ;
n°2005-031, n°2005-035 et n°2005-037 du 17 février
2005
Chapitre III:La CNIL, texte réglementaire et doctrine p.
160
statistiques, la planification des horaires et l'envoi de
messages relatifs à la gestion des horaires. » En effet,
« la Commission [considérait], au vu des motifs invoqués
par la société UTEL dans sa demande d'autorisation, que
l'objectif d'une meilleure gestion des temps de travail, s'il est
légitime, ne paraît pas, en lui même, de nature à
justifier l'enregistrement dans un lecteur biométrique des gabarits du
contour de la main des employés. » 418 Refus étranges
(l'un d'entre eux est daté de janvier 20064~9) au
vu d'autres autorisations émises à la même époque
420. Elle autorise par exemple un dispositif similaire visant
à permettre « via l'enregistrement des entrées et des
sorties des employés, de gérer la diversité des horaires
et d'assurer un suivi des temps de présence au sein de l'entreprise. II
servira ainsi à gérer les plannings, les heures
supplémentaires et les autorisations exceptionnelles d'absence.
»421 Ce refus se laisse donc difficilement comprendre, la CNIL
se défendant en affirmant examiner les dispositifs au cas par cas. Il
est possible que la situation des différents cas soit réellement
différente. Toutefois, rien dans les délibérations ne
permet de comprendre la différence de traitement, et en particulier
pourquoi le principe de proportionnalité est rempli dans un cas, et non
dans l'autre. Davantage qu'une incohérence, on peut conclure qu'en
restant délibérément laconique sur les motifs
réels, ou motifs matériels, du refus ou du blanc-seing
donné au dispositif examiné, la CNIL se réserve le droit
-- et le pouvoir -- d'apprécier souverainement la
légitimité des dispositifs, qu'elle seule peut autoriser. En
d'autres termes, en n'indiquant pas dans ses délibérations les
raisons matérielles pour lesquelles tel dispositif ne répond pas
aux principes formels (proportion, nécessité, etc.), la CNIL
s'arroge un pouvoir discrétionnaire, équivalent au
pouvoir juridique de qualification des faits.
On peut comparer cette discrétion de la CNIL à
l'attitude de l'Autorité grecque de protection des données
(HDPA), par exemple dans sa décision n°9/2003 concernant le
dispositif de reconnaissance géométrique qu'Attiko Metro (AMEL)
voulait installer pour sécuriser certaines zones (son système
informationnel). L'Autorité grecque a autorisé AMEL à
mettre en oeuvre le dispositif, mais son avis précise qu'elle a d'abord
demandé à AMEL de commander un audit et une analyse des risques
de son système
4i8 Délib. n°2005-031 du 17
février 2005 (refus d'autorisation ; UTEL ; contour de la main ;
contrôle des horaire)
419 Délib. n°2006-005 du 12 janvier 2006 (refus
d'autorisation ; clinique de Goussonville ; empreinte digitale ; contrôle
des horaires)
42O Délib. n°2005-163 du 21 juin 2005
(mairie de Gagny ; contour de la main ; contrôle des horaires) 421
Délib. n°2005-247 du o3 novembre 2005 (Info Service Europe ;
contour de la main ; contrôle des horaires)
Chapitre III:La CNIL, texte réglementaire et doctrine p.
161
informationnel. Ce n'est qu'à l'issue de cet audit, au
cours duquel des dispositifs biométriques « légers »
ont été recommandés à l'AMEL, que l'Autorité
grecque a autorisé le dispositif en question. La procédure est
donc plus lourde, puisqu'elle requiert un audit; elle conduit aussi
l'Autorité de contrôle à déléguer une partie
de son pouvoir, s'appuyant pour sa décision sur les résultats de
l'expertise commandée, tandis que la CNIL se contente de sa propre
expertise.
Outre la reconnaissance de la main, elle admet l'usage de la
reconnaissance du réseau veineux des doigts de la main, technologie non
classée parmi celles laissant des « traces ». Elle l'a
notamment autorisé pour un cas spécifique concernant des
travailleurs handicapés (mentaux), en précisant que le dispositif
n'avait pas ici pour finalité le contrôle des horaires:
« la fmalité poursuivie s'inscrit dans une
démarche de sécurisation de la prise en charge de personnes
présentant un handicap spécifique et permettra de prévenir
leur famille et/ou leur représentant légal en cas d'absence ;
d'autres solutions ont été testées mais ne
répondent pas, contrairement au dispositif projeté, aux
contraintes liées au handicap des personnes concernées.
»422
Plus encore: en mai 2009, elle a délivré une
autorisation unique à ce sujet, lorsque la finalité poursuivie
est le contrôle d'accès4~3. L'AU-o19 reprend
les dispositions des autorisations précédentes (exclusion des
mineurs et des traitements effectués pour le « compte de l'Etat
») mais exclut, en outre, le contrôle des horaires du champ de son
application.
Si, pour ce qui concerne les restaurants scolaires, elle
prête attention, depuis 2006, à la présence, ou non, d'une
clause d' « opt-out », ce n'est pas le cas dans
l'entreprise4~4. En revanche, tout comme ce qui se passe
pour la restauration scolaire, l'impératif de sécurité,
pour n'être pas forcément inexistant, demeure secondaire, le
caractère de commodité l'emportant. Ainsi, le dispositif
utilisé par un Carrefour4~5: on
422Délib. n°2008-038 du 7
février 2008 (Centre d'Aide au Travail - « le Vert Coteau » de
Thionville; reconnaissance du réseau veineux ; contrôle de la
présence des travailleurs handicapés)
423 Délib. n°2009-316 du 7 mai 2009 portant
autorisation unique de mise en oeuvre de dispositifs biométriques
reposant sur la reconnaissance du réseau veineux des doigts de la main
et ayant pour finalité le contrôle de l'accès aux locaux
sur les lieux de travail
424 Cf. AU-007, ainsi que par ex. délib.
n°2006-099 du o6 avril 2006 (Diagnostic Medical Systems MS; contour de la
main ; contrôle des horaires)
425 Délib. n°2006-098 du o6 avril 2006 (Carrefour ;
contour de la main ; contrôle de l'accès).
Chapitre III:La CNIL, texte réglementaire et doctrine p.
162
peut difficilement affirmer que d'autres moyens de
sécurité n'auraient pu être utilisés. Ou encore le
dispositif utilisé par le Service Départemental Incendie et
Secours de la Haute Corse, visant essentiellement à « éviter
les contraintes liées à la gestion d'un badge magnétique
»426.
426 Délib. n°2006-409 du 27 avril 2006
(Service Départemental Incendie et Secours de la Haute Corse ; contour
de la main ; contrôle des horaires)
