Empreintes digitales au travail : quelles obligations RGPD ?
Réponse courte
L'empreinte digitale est une donnée biométrique sensible au sens de l'article 9 du RGPD. Son traitement est en principe interdit et n'est admis qu'à des conditions strictes : nécessité avérée, absence d'alternative et garanties renforcées. Le simple confort de gestion ne suffit pas.
L'employeur doit conduire une analyse d'impact (AIPD), consulter la délégation du personnel et démontrer la proportionnalité du dispositif. La CNPD privilégie systématiquement les solutions où le gabarit est stocké sur un support individuel (carte) plutôt que dans une base centrale, et refuse l'usage généralisé de l'empreinte pour le simple pointage horaire.
Définition
L'empreinte digitale est une caractéristique physiologique unique permettant l'identification d'une personne. Stockée sous forme de gabarit numérique, elle entre dans la catégorie des données biométriques de l'article 4 du RGPD et bénéficie de la protection renforcée de l'article 9.
Au Luxembourg, son usage en entreprise relève d'une lecture restrictive de la CNPD, qui exige une justification précise et la démonstration qu'aucune alternative non biométrique n'est envisageable.
Conditions d’exercice
L'article 9 RGPD interdit en principe le traitement, qui n'est admis qu'à condition d'une finalité de sécurité sur zones sensibles, d'une nécessité démontrée, d'une AIPD (art. 35), et d'un stockage du gabarit de préférence sur carte individuelle.
| Condition | Détail |
|---|---|
| Finalité légitime | Sécurité d'accès à des zones réellement sensibles |
| Nécessité | Démontrée par l'absence d'alternative équivalente |
| Proportionnalité | Périmètre limité aux personnes et zones strictement concernées |
| AIPD | Analyse d'impact préalable obligatoire |
| Stockage | De préférence sur support individuel (carte à puce) |
| Information et consultation | Notice aux salariés et avis de la délégation |
Modalités pratiques
Le déploiement exige une étude préalable des alternatives, une AIPD écrite (art. 35), la consultation de la délégation et un stockage chiffré du gabarit, de préférence sur support individuel.
| Étape | Détail |
|---|---|
| Étude des alternatives | Documentation des solutions non biométriques évaluées |
| AIPD | Analyse écrite des risques et mesures (art. 35 RGPD) |
| Consultation | Avis de la délégation du personnel sur le dispositif |
| Information | Notice individuelle remise à chaque salarié concerné |
| Sécurité | Chiffrement du gabarit, accès restreint, journalisation |
| Réévaluation | Revue périodique de la nécessité du dispositif |
Pratiques et recommandations
Écarter l'empreinte digitale pour le simple pointage horaire et privilégier le badge ou le code, conformes à la doctrine constante de la CNPD.
Limiter l'usage de l'empreinte aux accès à très haute sensibilité (laboratoires, salles serveurs, zones réglementées).
Stocker systématiquement le gabarit sur une carte détenue par le salarié plutôt que dans une base centralisée.
Réaliser et conserver une AIPD complète documentant la démarche et les mesures de sécurité.
Consulter la délégation du personnel avant tout déploiement et obtenir un avis écrit conformément à l'article L.261-1 du Code du travail.
Cadre juridique
Plusieurs textes encadrent l'usage des empreintes digitales en entreprise.
| Référence | Objet |
|---|---|
| Art. 9 RGPD | Interdiction de principe des traitements de données sensibles |
| Art. 4 RGPD | Définition des données biométriques |
| Art. 35 RGPD | Analyse d'impact relative à la protection des données |
| Art. L.261-1 Code du travail | Surveillance des salariés et protection des données |
| Art. L.414-9 Code du travail | Consultation de la délégation du personnel |
| Loi du 1er août 2018 | Régime général de protection au Luxembourg |
Note
La CNPD a déjà sanctionné des employeurs ayant imposé l'empreinte digitale pour la gestion des horaires, faute de justification suffisante. L'amende peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.