Contrôle des horaires des salariés : quelle formalité CNIL ?

Toutefois, les moyens de mise en œuvre de ce contrôle sont libres pour l’employeur. Il peut donc décompter le temps de travail de manière automatique, manuelle ou auto-déclarative.

Les moyens de décompte automatisé du temps de travail sont aujourd’hui très développés. Le plus ancestral est la « pointeuse » qui perforait la feuille de présence, la plus repandue à ce jour est la « badgeuse » qui comptabilise le passage d’un badge personnel attribué au salarié ou encore la « connexion » du salarié à son poste de travail permettant de déterminer l’heure à laquelle il commence à travailler ; mais on connaît également la « biométrie » qui utilise par exemple le contour de la main et son réseau veineux.

En fonction de la technologie utilisée et de la finalité du contrôle, la formalité à réaliser auprès de la Commission Nationale de l’Informatique et des libertés (Cnil) varie :

• Une autorisation : Si le traitement automatisé de contrôle des horaires est susceptible, du fait de sa nature, sa portée ou sa finalité, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
• Une autorisation : en fonction des données collectées pour la mise en œuvre du traitement telles que des données biométriques car ces données qui sont très sensibles.
• Une déclaration dans d’autres rares cas.

Lorsque l’on parle d’autorisation de la Cnil, les entreprises se crispent et se posent à juste titre la question de savoir si cette autorisation de la Cnil sera ou non délivrée, surtout en matière de biométrie.

Autrement dit, les technologies biométriques qui sont au cœur du développement de la sécurité dans l’entreprise peuvent-elles être utilisées pour assurer le contrôle de la présence des salariés ?

Depuis 2006, il était aisé de répondre à cette question par l’affirmative. En effet, la Commission Nationale de l’Informatique et des libertés (Cnil) a abondé dans leur sens en accordant depuis le 27 avril 2006 une autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi et la gestion des horaires et de la restauration sur les lieux de travail (AU-007).

Mais le 20 septembre 2012, la Cnil est revenue sur l’autorisation unique adoptée le 27 avril 2006. Elle a ainsi publié un communiqué le 30 octobre dernier pour annoncer que l’utilisation des dispositifs de biométrie aux fins de contrôle des horaires de salariés est disproportionnée. (Délibération n° 2012-322 du 20 septembre 2012 portant autorisation unique de mise en œuvre de traitements reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la restauration sur les lieux de travail – décision d’autorisation unique n°AU-007).

Pourquoi un tel revirement ? La Cnil s’est toujours montrée vigilante concernant les données biométriques car elles sont très sensibles. En effet, une donnée biométrique est unique et permanente. Elle permet d’identifier de manière certaine un individu à partir de ses caractéristiques physiques et biologiques. C’est bien le cas d’une empreinte digitale ou du contour de la main.

La Cnil s’est ainsi prononcée comme suit :

« À la suite de plus d’une dizaine d’auditions, un consensus s’est clairement exprimé pour considérer comme disproportionnée l’utilisation de la biométrie aux fins de contrôle des horaires. Dès lors, la Commission a décidé de modifier l’AU-007 en ce qu’elle autorisait l’utilisation du contour de la main aux fins de gestion des horaires. Désormais, aucune autorisation unique ne permet de contrôler les horaires des salariés par un dispositif biométrique. »

Quelles sont les conséquences pour ceux qui ont déjà obtenu l’AU-007 et donc qui ont investi légitimement dans un dispositif biométrique ?

La Cnil a prévu d’accorder à ces entreprises un délai de 5 ans pour modifier les dispositifs biométriques de contrôle des horaires des salariés et déjà autorisés par la Cnil. Au-delà des 5 ans, les entreprises devront « supprimer » la fonctionnalité « biométrie » :

« Les organismes qui recourent déjà à ce dispositif pour contrôler les horaires de leur personnel et qui ont effectué un engagement de conformité avant la publication de cette nouvelle délibération pourront continuer de l’utiliser pendant une période de cinq ans. Passé ce délai, ils devront arrêter de recourir à la fonctionnalité biométrique, ce qui n’impliquera pas systématiquement de changer de matériel. Les organismes pourront en effet paramétrer le système pour inhiber la fonction biométrique et utiliser, à la place, des codes, cartes ou/ et badges sans biométrie. La CNIL a informé individuellement les organismes ayant précédemment adressé un engagement de conformité à l’AU-007. »

Mettre en place un plan d’actions : malgré l’apparente exhaustivité du communiqué de la Cnil, il est évident que l’entreprise devra impérativement mettre en place un plan d’actions qui va au-delà du simple paramétrage du système de contrôle des horaires. A titre d’exemple, il conviendra notamment de :

• supprimer progressivement le fichier contenant des données biométriques
• réinvestir dans un nouveau système de badgeuse qui devra notamment passer devant le Comité d’entreprise, avec tous les désagréments administratifs et politiques que cela peut avoir

Les ambiguïtés de ce revirement :

On peut s’étonner de voir la Cnil revenir sur une autorisation déjà rendue il y a 6 ans alors qu’elle ne s’est pas prononcée sur les autorisations délivrées pour l’utilisation de la biométrie pour le contrôle des horaires sans pour autant avoir souscrit à l’autorisation unique AU-007.

Il est aujourd’hui légitime pour l’entreprise de s’interroger sur la pérennité de l’AU-007 quand la Cnil ajoute que :

« Toutefois, les dispositifs de contour de la main pourront toujours être utilisés pour contrôler l’accès à des locaux ou gérer la restauration sur les lieux de travail. Ces traitements continueront de faire l’objet d’un engagement de conformité à l’AU-007 ».

Nos recommandations :

Peut-être serait-il préférable de déposer une demande d’autorisation classique et non une AU-007…

Lors du dépôt de la demande d’autorisation auprès de la Cnil il conviendra de répondre à toutes les exigences de la Cnil en présentant principalement les moyens techniques, juridiques, sécuritaires et économiques qui ont conduit à la mise en place du traitement de données à caractère personnel.