Le contrôle biométrique d’accès aux locaux respecte-t-il la personnalité des employés ?
La direction générale a décidé de changer le contrôle magnétique des accès par un contrôle biométrique (empreintes rétiniennes ou géométrie de la main et empreintes digitales). Elle annonce le changement au personnel. La commission du personnel se réunit.
Au terme d’une discussion animée, la commission du personnel décide de faire obstacle à la réalisation du projet de la direction.
La direction des ressources humaines (DRH) est prise entre deux feux. D’une part, la direction générale, convaincue des avantages du dispositif, ne veut pas revenir sur sa décision. D’autre part, la commission du personnel soutient fermement que l’usage d’un tel dispositif constituerait une atteinte à la personnalité des employés. La DRH organise une séance commune avec la direction des services d’information (DSI), la direction générale et le conseiller (ou responsable) protection des données pour évaluer les solutions possibles.
Au terme de la séance, il est admis que la collecte des données projetée n’est pas proportionnée au but visé et qu’il serait donc nécessaire d’obtenir le consentement de chacun des employés. Au vu du coût et des complications qu’engendreraient la présence de deux dispositifs parallèles (magnétique et biométrique), la direction générale ajourne son projet et demande à la DSI d’étudier une solution moins intrusive.
Les données recueillies pour permettre un contrôle biométrique peuvent être employées à des fins étrangères au but annoncé. La DRH se félicite d’avoir favorisé la recherche d’une solution respectueuse de la personnalité des employés.
Recommandations
Les données biométriques comprennent généralement des données sensibles (notamment sur la santé). Quand tel est le cas, une base légale formelle est nécessaire et les personnes concernées doivent être clairement informées et consentir au traitement de ces données. L’objectif visé doit être clair, et la mesure nécessaire la plus adéquate et la moins intrusive pour l’atteindre doit être choisie. Cette mesure doit faire l’objet d’une communication appropriée. L’employeur doit en outre consulter les employés ou leurs représentants et, en l’absence d’une base légale formelle, obtenir leur consentement libre et éclairé avant d’introduire des systèmes automatisés pour le traitement de données personnelles.
Principes de base
LIPAD 38 et 42 ; LPD 4 al. 4, 12 et 13 ; LT 6 ; OLT3 26 ; CO 328 et 328b
Protection de la personnalité, protection des travailleurs; principe de licéité et proportionnalité : la mesure doit être nécessaire et la moins intrusive possible, et reposer sur le consentement s'il n'y a ni base légale ni intérêt prépondérant.
Ressources
La Banque privée genevoise Pictet & Cie utilise la reconnaissance faciale en 3D pour sécuriser l’accès à ses bâtiments depuis 2006. Comment a-t-elle surmonté les craintes de ses 2000 collaborateurs? En communicant. Cette technologie ne permet pas de surveiller l’état de santé d’un individu et de violer sa sphère privée. «Les employés craignent parfois que le scan de leur visage n’atteigne leur santé, ce qui n'est pas le cas parce que la machine les filme simplement», note Jean-Pierre Therre, responsable de la sécurité de la banque privée. La banque de données ne contient pas non plus de photos des employés, mais l'analyse des scans de leur crâne selon 40.000 points de repères, dont on ne peut rien tirer : http://www.1234economy.com/biometrie-et-reconnaissance-faciale-en-3d-comment-la-banque-privee-genevoise-pictet-a-gere-les-resistances /