← Article précédent
Télécharger en PDF
Article suivant →

Une entreprise peut-elle utiliser la biométrie pour contrôler l'accès des salariés ?

Réponse courte

L'utilisation de dispositifs biométriques pour le contrôle d'accès est autorisée uniquement si trois conditions cumulatives sont remplies : la nécessité de sécurité est démontrée, aucune alternative moins intrusive n'est suffisante, et une autorisation préalable de la CNPD a été obtenue. Le traitement doit respecter le principe de minimisation et faire l'objet d'une analyse d'impact obligatoire.

Définition

Les données biométriques sont des caractéristiques physiques, physiologiques ou comportementales permettant d'identifier une personne de manière unique. Dans le contexte professionnel, il s'agit principalement d'empreintes digitales, de reconnaissance faciale, d'analyse de l'iris ou de la géométrie de la main. Ces données sont qualifiées de sensibles au sens de l'article 9 du RGPD et bénéficient d'une protection renforcée.

Conditions d’exercice

L'employeur doit satisfaire aux exigences suivantes :

  • Démontrer la nécessité absolue du dispositif biométrique
  • Prouver l'absence d'alternative moins intrusive
  • Réaliser une analyse d'impact (AIPD)
  • Obtenir l'autorisation préalable de la CNPD
  • Consulter la délégation du personnel
  • Limiter le traitement aux zones présentant des risques particuliers
  • Garantir l'égalité de traitement entre salariés

Modalités pratiques

La mise en œuvre requiert :

  • Une documentation complète du projet et de sa justification
  • Une analyse d'impact conforme à l'article 35 du RGPD
  • L'information préalable des salariés sur les modalités du traitement
  • La mise en place de mesures de sécurité appropriées
  • Un registre des activités de traitement détaillé
  • Une procédure de gestion des droits des personnes concernées
  • Un système de traçabilité des accès aux données

Pratiques et recommandations

Il est recommandé de :

  • Privilégier le stockage local des gabarits biométriques
  • Limiter strictement l'accès aux données aux personnes habilitées
  • Mettre en place une supervision humaine du dispositif
  • Réévaluer régulièrement la nécessité du système
  • Former le personnel à l'utilisation du dispositif
  • Prévoir une solution de secours en cas de défaillance

Cadre juridique

  • Article L.261-1 du Code du travail (surveillance des salariés)
  • Article L.414-9 du Code du travail (consultation de la délégation du personnel)
  • Articles 9 et 35 du RGPD (données sensibles et analyse d'impact)
  • Articles 12 à 22 du RGPD (droits des personnes concernées)
  • Loi modifiée du 1er août 2018 relative à la protection des données
  • Délibérations et lignes directrices de la CNPD applicables

Note

La biométrie doit rester une solution de dernier recours. L'employeur engage sa responsabilité en cas de non-respect des obligations légales ou de violation de données. Un contrôle régulier de la CNPD est possible.

Source : – IA/RH spécialisée en droit du travail au Luxembourg. Dernière mise à jour : 28.08.2025.

Les contenus ne remplacent pas une consultation juridique et doivent être validés par un professionnel du droit.

Pixie vous propose aussi...