← Article précédent
Télécharger en PDF
Article suivant →

L’utilisation d’un système de reconnaissance faciale pour le pointage est-elle autorisée ?

Réponse courte

L’utilisation d’un système de reconnaissance faciale pour le pointage des salariés au Luxembourg n’est pas autorisée, sauf en cas de nécessité absolue, c’est-à-dire si aucun autre moyen moins intrusif ne permet d’atteindre l’objectif poursuivi. Pour le simple contrôle des horaires de travail, cette technologie est jugée disproportionnée et donc interdite, sauf justification documentée d’une impossibilité absolue de recourir à une solution alternative.

La CNPD recommande systématiquement de privilégier des solutions non biométriques (badges, codes, etc.) et exerce un contrôle strict sur l’usage de la reconnaissance faciale. Toute installation d’un tel dispositif doit faire l’objet d’une analyse d’impact, d’une information complète des salariés, d’une déclaration préalable à la CNPD, et peut être refusée par celle-ci.

Définition

La reconnaissance faciale appliquée au pointage désigne l’utilisation d’un dispositif biométrique permettant d’identifier ou d’authentifier un salarié à partir des caractéristiques uniques de son visage, dans le but d’enregistrer ses heures d’arrivée et de départ sur le lieu de travail. Cette technologie implique la collecte, le traitement et la conservation de données biométriques, qui sont considérées comme des données à caractère personnel particulièrement sensibles au sens du droit luxembourgeois.

Les données biométriques, telles que définies par l’article 4 du Règlement (UE) 2016/679 (RGPD) et l’article 2 de la loi du 1er août 2018, englobent toute donnée personnelle résultant d’un traitement technique spécifique concernant les caractéristiques physiques, physiologiques ou comportementales d’une personne permettant ou confirmant son identification unique.

Conditions d’exercice

L’employeur ne peut recourir à la reconnaissance faciale pour le pointage que si ce traitement répond à une nécessité absolue, c’est-à-dire lorsque l’objectif poursuivi ne peut être atteint par un autre moyen moins intrusif pour la vie privée des salariés. Cette exigence découle de l’article 9 de la loi du 1er août 2018 et des lignes directrices de la CNPD.

La CNPD considère que le recours à la biométrie, et en particulier à la reconnaissance faciale, n’est justifié que dans des situations exceptionnelles, telles que la protection de zones à accès strictement limité ou la prévention de risques majeurs pour la sécurité des personnes ou des biens. Pour le simple contrôle des horaires de travail, l’utilisation de la reconnaissance faciale est jugée disproportionnée et donc interdite, sauf justification documentée d’une impossibilité absolue de recourir à une solution alternative.

L’égalité de traitement entre salariés doit être respectée conformément à l’article L.241-1 du Code du travail, et toute discrimination fondée sur le refus de se soumettre à un dispositif biométrique est prohibée.

Modalités pratiques

Avant toute mise en œuvre d’un système de reconnaissance faciale, l’employeur doit obligatoirement réaliser une analyse d’impact relative à la protection des données (AIPD), conformément à l’article 39 de la loi du 1er août 2018 et à l’article 35 du RGPD. Cette analyse doit démontrer l’impossibilité de recourir à une solution moins intrusive et évaluer les risques pour les droits et libertés des personnes concernées.

L’employeur doit informer individuellement et préalablement chaque salarié, ainsi que la délégation du personnel, sur la finalité du traitement, la durée de conservation, les destinataires des données, les droits d’accès, de rectification, d’opposition et d’effacement, ainsi que sur la possibilité d’introduire une réclamation auprès de la CNPD (articles 13 et 14 du RGPD, article 12 de la loi du 1er août 2018).

Le consentement des salariés ne constitue pas une base légale valable dans la relation de travail, en raison du déséquilibre entre les parties (article 9, paragraphe 2, RGPD ; lignes directrices CNPD). Toute installation d’un tel dispositif doit faire l’objet d’une déclaration préalable auprès de la CNPD, qui peut s’opposer à sa mise en œuvre.

L’accès aux données biométriques doit être strictement limité aux personnes habilitées, et des mesures techniques et organisationnelles appropriées doivent être mises en place pour garantir leur sécurité (article 32 RGPD, article 37 loi du 1er août 2018). Les données doivent être supprimées dès que la finalité du traitement n’existe plus.

Pratiques et recommandations

La CNPD recommande de privilégier des solutions alternatives telles que les badges, les codes personnels ou les systèmes de pointage non biométriques, sauf justification documentée d’une nécessité absolue. En pratique, l’utilisation de la reconnaissance faciale pour le simple contrôle du temps de travail est systématiquement déconseillée et fait l’objet d’un contrôle strict.

Les employeurs doivent veiller à la traçabilité des opérations de traitement, à l’encadrement humain des dispositifs automatisés et à la documentation complète des mesures prises pour garantir la conformité. Toute utilisation abusive ou non conforme expose l’employeur à des sanctions administratives et pénales, ainsi qu’à des actions en responsabilité civile.

Cadre juridique

  • Loi du 1er août 2018 relative à la protection des personnes à l’égard du traitement des données à caractère personnel, notamment :
    • Article 9 (interdiction du traitement des données biométriques, sauf exceptions)
    • Article 39 (analyse d’impact obligatoire)
    • Article 37 (sécurité du traitement)
    • Article 12 (information des personnes concernées)
  • Règlement (UE) 2016/679 (RGPD), notamment :
    • Article 4 (définition des données biométriques)
    • Article 9 (traitement des catégories particulières de données)
    • Article 35 (analyse d’impact)
    • Article 32 (sécurité du traitement)
    • Articles 13 et 14 (information des personnes concernées)
  • Code du travail luxembourgeois :
    • Article L.241-1 (égalité de traitement)
  • Lignes directrices et décisions de la CNPD relatives à la biométrie et à la reconnaissance faciale
  • Jurisprudence luxembourgeoise sur la proportionnalité et la protection des données en milieu professionnel

Note

L’installation d’un système de reconnaissance faciale pour le pointage expose l’employeur à un risque élevé de non-conformité et de sanctions. Il est impératif de consulter la CNPD, de documenter rigoureusement la nécessité absolue du dispositif et d’explorer en priorité des alternatives moins intrusives, conformément au principe de proportionnalité.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...