A-t-on le droit d’exiger la collecte de mes données biométriques ?
Un employé utilise une clé magnétique pour accéder à son lieu de travail. La direction décide de changer le contrôle magnétique des accès par un contrôle biométrique (empreintes rétiniennes ou géométrie de la main et empreintes digitales). Elle annonce le changement au personnel.
Pour se renseigner, l’employé téléphone à un syndicat qui lui explique que c’est « complètement illégal », que le personnel devrait « refuser de participer » et qu’un licenciement pour ce motif « serait hautement abusif ». L’employé informe son supérieur hiérarchique qu’il n’a pas l’intention de se soumettre à la collecte de ses empreintes.
Informée de l’intention de l’employé, la direction lui laisse entendre qu’elle considérerait ce manque de collaboration comme une violation inadmissible du contrat de travail. Inquiet, le supérieur hiérarchique fait appel au conseiller (ou responsable) protection des données et organise une séance avec un représentant de la direction pour évaluer la situation.
Au terme de la séance, il est admis que la collecte des données projetée n’est pas proportionnée au but visé et qu’il serait donc nécessaire d’obtenir le consentement de chacun des employés. La direction ajourne son projet et promet d’étudier une solution moins intrusive.
Les données recueillies pour permettre un contrôle biométrique peuvent être utilisées à des fins étrangères au but annoncé. L’employé est satisfait de constater que ses craintes ont été entendues.
Recommandations
Les données biométriques comprennent généralement des données sensibles (notamment sur la santé). Quand tel est le cas, une base légale formelle est nécessaire et les personnes concernées doivent être clairement informées et consentir au traitement de ces données. L’objectif visé doit être clair, et la mesure nécessaire la plus adéquate et la moins intrusive pour l’atteindre doit être choisie. Cette mesure doit faire l’objet d’une communication appropriée. L’employeur doit en outre consulter les employés ou leurs représentants et, en l’absence d’une base légale formelle, obtenir leur consentement libre et éclairé avant d’introduire des systèmes automatisés pour le traitement de données personnelles.
Principes de base
LIPAD 38 et 42 ; LPD 4 al. 4, 12 et 13 ; LTr 6 ; OLT3 26 ; CO 328 et 328b
Protection de la personnalité, protection des travailleurs, principe de la proportionnalité : la mesure doit être nécessaire et la moins intrusive possible.
Ressources
Voir le guide du PFPDT: