Une analyse d'impact (DPIA) est-elle obligatoire avant le déploiement d'une badgeuse biométrique ou géolocalisée ?
Réponse courte
Oui, une analyse d'impact relative à la protection des données (AIPD ou DPIA) est obligatoire avant le déploiement d'une badgeuse biométrique ou géolocalisée au Luxembourg. L'article 35 du RGPD impose cette analyse lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, ce qui est systématiquement le cas pour les données biométriques et la géolocalisation.
La CNPD a confirmé dans ses lignes directrices que le traitement de données biométriques aux fins d'identification des salariés et la géolocalisation systématique constituent des traitements nécessitant une AIPD. L'absence de cette analyse expose l'employeur à une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
Définition
L'analyse d'impact relative à la protection des données (AIPD) est une procédure d'évaluation préalable imposée par l'article 35 du RGPD lorsqu'un traitement de données présente un risque élevé pour les droits et libertés des personnes physiques. Elle vise à identifier les risques, à évaluer leur gravité et à définir les mesures de mitigation avant la mise en œuvre du traitement.
Les données biométriques (empreintes digitales, reconnaissance faciale, géométrie de la main) sont des données sensibles au sens de l'article 9 du RGPD. La géolocalisation des salariés constitue une surveillance systématique des déplacements, relevant des critères de risque élevé définis par le Comité européen de la protection des données.
Conditions d’exercice
L'AIPD est obligatoire dans les situations suivantes pour les systèmes de pointage.
| Situation | Obligation AIPD |
|---|---|
| Badgeuse biométrique | Obligatoire systématiquement (données sensibles au sens de l'article 9 du RGPD) |
| Badgeuse avec géolocalisation | Obligatoire (surveillance systématique des déplacements des salariés) |
| Badgeuse à badge simple | Non obligatoire en principe, sauf si croisement avec d'autres données de surveillance |
| Cumul biométrie et géolocalisation | Obligatoire, avec analyse renforcée du principe de proportionnalité |
| Modification substantielle du dispositif | Nouvelle AIPD nécessaire si changement de technologie ou extension du périmètre |
Modalités pratiques
L'AIPD doit contenir les éléments suivants conformément à l'article 35, paragraphe 7, du RGPD.
| Élément | Contenu |
|---|---|
| Description du traitement | Nature du dispositif, données collectées, catégories de personnes concernées, durée de conservation |
| Évaluation de la nécessité | Justification de la proportionnalité du recours à la biométrie ou à la géolocalisation par rapport à des alternatives moins intrusives |
| Analyse des risques | Identification des risques pour les droits des salariés (discrimination, surveillance excessive, fuite de données) |
| Mesures de mitigation | Chiffrement, pseudonymisation, limitation des accès, suppression automatique, procédure en cas de violation |
| Consultation du DPO | Avis du délégué à la protection des données, obligatoirement documenté |
| Consultation préalable CNPD | Si les risques résiduels restent élevés malgré les mesures, consultation de la CNPD avant déploiement (article 36 du RGPD) |
Pratiques et recommandations
Réaliser l'AIPD avant toute décision définitive d'acquisition ou de déploiement du dispositif biométrique ou géolocalisé. L'analyse doit démontrer qu'aucune alternative moins intrusive (badge, code, application sans géolocalisation) ne permet d'atteindre le même objectif avec une efficacité comparable.
Associer la délégation du personnel au processus en la consultant sur le projet conformément à l'article L.261-1 du Code du travail. L'avis de la délégation et du DPO doivent être documentés et conservés avec l'AIPD.
Réviser l'AIPD à intervalles réguliers et systématiquement en cas de modification du dispositif ou d'évolution de la réglementation.
Conserver l'AIPD dans la documentation de conformité de l'entreprise et la tenir à disposition de la CNPD en cas de contrôle. L'absence d'AIPD documentée constitue en soi une infraction sanctionnable, indépendamment de la conformité du traitement lui-même.
Cadre juridique
| Référence | Objet |
|---|---|
| Article 35 du RGPD | Obligation de réaliser une AIPD en cas de risque élevé pour les droits et libertés |
| Article 36 du RGPD | Consultation préalable de l'autorité de contrôle si risques résiduels élevés |
| Article 9 du RGPD | Traitement des données sensibles, dont les données biométriques |
| Article 83 du RGPD | Sanctions administratives en cas de non-réalisation de l'AIPD |
| Art. L.261-1 du Code du travail | Information et consultation préalables sur les dispositifs de surveillance |
| Art. L.414-9 du Code du travail | Codécision avec la délégation du personnel pour les systèmes automatisés (entreprises de 150+ salariés) |
| CNPD | Lignes directrices sur les traitements nécessitant une AIPD, autorité de contrôle compétente |
Note
La CNPD peut exiger la suspension du déploiement d'un dispositif biométrique ou géolocalisé si l'AIPD est absente ou insuffisante. En pratique, les alternatives non biométriques (badge RFID, code personnel, application mobile) sont presque toujours considérées comme suffisantes pour le contrôle du temps de travail, ce qui rend difficile la justification du recours à la biométrie au regard du principe de proportionnalité.