Les données biométriques peuvent-elles appuyer une sanction ?
Réponse courte
L'utilisation de données biométriques pour appuyer une sanction disciplinaire est très strictement encadrée au Luxembourg. Les données biométriques sont des données sensibles au sens du RGPD (article 9) dont le traitement est en principe interdit, sauf exceptions limitatives. Leur utilisation à des fins disciplinaires n'est admissible que si le traitement biométrique a été initialement mis en place pour une finalité légitime (contrôle d'accès, sécurité), dans le respect du RGPD et de l'article L.261-1 du Code du travail, avec information préalable des salariés et consultation de la délégation et de la CNPD. Le détournement de la finalité initiale rend la preuve illicite.
Définition
Les données biométriques sont des données à caractère personnel résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d'une personne (empreintes digitales, reconnaissance faciale, scan rétinien). Leur utilisation en matière disciplinaire consiste à exploiter ces données pour prouver un fait fautif relevant du protection des données (présence, absence, accès non autorisé).
Questions fréquentes
Conditions d’exercice
Les données biométriques relèvent de l'article 9 du RGPD : leur exploitation disciplinaire n'est possible que si cette finalité figurait dans la déclaration initiale.
| Condition | Détail |
|---|---|
| Finalité initiale légitime | Le dispositif biométrique doit avoir été installé pour une finalité déclarée (contrôle d'accès) |
| Pas de détournement | L'utilisation disciplinaire doit être prévue dans la finalité initiale |
| Consentement ou base légale | Le traitement doit reposer sur une base juridique valide au sens du RGPD |
| Information préalable | Les salariés doivent être informés du traitement et de ses finalités |
| Analyse d'impact | Une DPIA (analyse d'impact) est obligatoire pour les données biométriques |
Modalités pratiques
Tout détournement de finalité est rédhibitoire : un badge biométrique installé pour la sécurité ne peut pas servir à contrôler la ponctualité.
| Étape | Détail |
|---|---|
| Vérification de conformité | S'assurer que le traitement biométrique est conforme au RGPD et à la loi |
| Vérification de finalité | Confirmer que l'utilisation disciplinaire est couverte par la finalité déclarée |
| Extraction ciblée | Extraire uniquement les données pertinentes pour les faits reprochés |
| Droit d'accès | Permettre au salarié d'accéder aux données le concernant |
| Suppression | Détruire les données à l'issue de la procédure |
Pratiques et recommandations
Réaliser systématiquement une analyse d'impact avant toute mise en place d'un dispositif biométrique.
Prévoir expressément dans la politique de traitement la possibilité d'utilisation des données comme proportionnalité à des fins disciplinaires.
Consulter la CNPD et la délégation du personnel avant l'installation du dispositif.
Privilégier des moyens de preuve moins intrusifs lorsqu'ils sont disponibles. Ne jamais utiliser des données biométriques collectées pour une finalité distincte de celle prévue initialement.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. 9 du RGPD | Traitement des catégories particulières de données (biométriques) |
| Art. L.261-1 du Code du travail | Protection des données des salariés |
| Loi du 1er août 2018 | Organisation de la CNPD |
| Art. L.414-3 du Code du travail | Consultation de la délégation du personnel |
Note
Les données biométriques bénéficient du plus haut niveau de protection en droit européen et luxembourgeois. Leur utilisation à des fins disciplinaires est exceptionnelle et doit être justifiée par l'absence d'alternative moins intrusive. Le tribunal du travail est particulièrement vigilant sur la licéité de ce type de preuves.