← Article précédent
Télécharger en PDF
Article suivant →

Le pointage biométrique est-il légalement autorisé en entreprise au Luxembourg ?

Réponse courte

Le pointage biométrique est soumis à des conditions de licéité extrêmement strictes au Luxembourg. Les données biométriques sont des données sensibles au sens de l'article 9 du RGPD, dont le traitement est en principe interdit sauf exceptions limitativement énumérées. La CNPD considère que le recours à la biométrie pour la seule gestion du temps de travail ne constitue pas un motif suffisant et recommande systématiquement de privilégier des alternatives non biométriques.

Toute mise en place d'un système biométrique exige une analyse d'impact (AIPD) préalable obligatoire, conformément à l'article 35 du RGPD et aux lignes directrices de la CNPD. L'employeur doit démontrer l'absence d'alternative moins intrusive et la proportionnalité stricte du dispositif au regard de l'objectif poursuivi. La consultation de la délégation du personnel est obligatoire dans les entreprises de 150 salariés et plus (article L.414-9).

Définition

Le pointage biométrique désigne l'utilisation de caractéristiques physiques uniques d'un individu (empreintes digitales, reconnaissance faciale, iris) pour identifier ou authentifier un salarié lors de l'enregistrement du temps de travail. Ces données sont qualifiées de données sensibles au sens de l'article 9 du RGPD.

La CNPD distingue les dispositifs biométriques utilisés pour la sécurité des personnes ou des biens, soumis aux mêmes obligations d'information, pour lesquels une justification peut être admise, de ceux utilisés à des fins de gestion administrative du temps de travail, pour lesquels une interdiction de principe s'applique.

Questions fréquentes

L'AIPD est-elle obligatoire pour la biométrie ?
Oui, l'AIPD est systématiquement obligatoire avant toute mise en place selon l'article 35 du RGPD et les lignes directrices de la CNPD. Elle doit identifier les risques, démontrer l'absence d'alternative moins intrusive et la proportionnalité stricte du dispositif au regard de l'objectif.
Le consentement du salarié peut-il fonder le traitement ?
Non, le consentement du salarié ne peut servir de base légale au traitement biométrique en raison du déséquilibre inhérent à la relation de travail. Le salarié n'est pas en position de refuser librement. Une autre base légale (nécessité absolue, sécurité) doit être démontrée.
Le pointage biométrique est-il autorisé en entreprise au Luxembourg ?
Le pointage biométrique est soumis à des conditions de licéité extrêmement strictes. Les données biométriques sont sensibles selon l'article 9 du RGPD. La CNPD considère que la simple gestion du temps de travail ne justifie pas le recours à la biométrie et recommande de privilégier des alternatives non biométriques.
Pourquoi la CNPD est-elle restrictive sur la biométrie ?
Les données biométriques sont irrévocables et sensibles selon l'article 9 du RGPD. La CNPD considère que des alternatives moins intrusives (badge, code, application mobile) sont suffisantes dans la très grande majorité des cas. Le recours à la biométrie pour le seul pointage est jugé disproportionné.
Quelles mesures techniques privilégier ?
Il faut privilégier le stockage local sur support individuel plutôt que le stockage centralisé des gabarits biométriques. Le chiffrement, la limitation des accès, la traçabilité des consultations et une procédure de suppression sécurisée des gabarits doivent être prévus systématiquement.
Quelles sanctions en cas de non-conformité ?
Le non-respect expose à des amendes de la CNPD pouvant atteindre 20 millions EUR ou 4 % du chiffre d'affaires mondial, ainsi qu'à la nullité du dispositif. Les données collectées peuvent être déclarées irrecevables comme preuve. La CNPD effectue des contrôles réguliers sur ces dispositifs.

Conditions d’exercice

Le recours au pointage biométrique est soumis à des conditions cumulatives strictes.

Condition Exigence
Nécessité absolue L'employeur doit démontrer qu'aucune solution alternative moins intrusive (badge, code, application) ne permet d'atteindre l'objectif
Proportionnalité stricte Le dispositif doit être proportionné aux risques qu'il vise à prévenir
AIPD obligatoire Une analyse d'impact doit être réalisée systématiquement avant toute mise en place (article 35 du RGPD, lignes directrices CNPD)
Information préalable Chaque salarié doit être informé individuellement conformément à l'article L.261-1 et à l'article 13 du RGPD
Consultation La délégation du personnel doit être consultée (article L.414-9)
Interdiction du consentement comme base Le consentement du salarié ne peut servir de base légale en raison du déséquilibre inhérent à la relation de travail

Modalités pratiques

La mise en place d'un pointage biométrique, lorsqu'elle est justifiée, exige une procédure rigoureuse.

Étape Détail
AIPD Réaliser une analyse d'impact détaillée identifiant les risques et les mesures d'atténuation
Documentation Constituer un dossier justifiant l'absence d'alternative moins intrusive
Consultation Soumettre le projet à la délégation du personnel avec le dossier complet
Information Informer individuellement chaque salarié de la finalité, des droits et de la durée de conservation
Mesures techniques Privilégier le stockage local sur support individuel plutôt que le stockage centralisé des gabarits
DPO Désigner un délégué à la protection des données si ce n'est pas encore fait
Registre Inscrire le traitement au registre des activités de traitement (article 30 du RGPD)

Pratiques et recommandations

Privilégier systématiquement des alternatives non biométriques, comme un système de pointage classique (badge, code personnel, application mobile) pour le contrôle du temps de travail. La CNPD considère que ces alternatives sont suffisantes dans la très grande majorité des cas et que le recours à la biométrie pour le seul pointage est disproportionné.

Limiter strictement l'accès aux données biométriques aux seules personnes habilitées et définir une durée de conservation aussi courte que possible.

Prévoir des procédures de secours alternatives pour les salariés qui ne peuvent pas utiliser le système biométrique pour des raisons physiologiques.

Documenter l'ensemble des mesures de conformité et conserver les preuves de réalisation de l'AIPD, de consultation de la délégation et d'information des salariés pour pouvoir les présenter en cas de contrôle de la CNPD.

Cadre juridique

Les principales dispositions applicables sont les suivantes.

Référence Objet
Article 9 du RGPD Interdiction de principe du traitement des données biométriques, exceptions limitatives
Article 35 du RGPD Obligation d'analyse d'impact pour les traitements à risque élevé
Article L.261-1 du Code du travail Information préalable sur les dispositifs de surveillance
Article L.414-9 du Code du travail Codécision avec la délégation du personnel (entreprises de 150 salariés et plus)
Loi du 1er août 2018 Protection des données à caractère personnel
Lignes directrices CNPD Proportionnalité stricte, alternatives non biométriques à privilégier

Note

Le non-respect des conditions de licéité du pointage biométrique expose l'employeur à des amendes de la CNPD pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, ainsi qu'à la nullité du dispositif et à l'irrecevabilité des données collectées comme preuve. La CNPD effectue des contrôles réguliers sur ces dispositifs.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...