L’usage des données biométriques de la part de l’employeur est-il toujours légitime ?

Tout d’abord, qu’entend-on par « données biométriques » et quel est cadre législatif de référence ? Et à quelles conditions l’usage de ces données de la part de l’employeur est légitime en Italie ? Une récente décision de 2024 de l’Autorité italienne de protection des données (« Garante Privacy »), dans laquelle l’employeur avait utilisé de manière illégitime la reconnaissance faciale de ses salariés pour détecter leur présence effective sur le lieu de travail, peut être comparé à deux intéressants épisodes d'actualité, en particulier les cas Plastic Forte en Espagne e le cas Walmart aux Etats-Unis.

Qu’est-ce qu’on entend par « données biométriques » ? Notion et cadre législatif de référence en Italie

Les données biométriques sont définies à l’Article 4, n. 14 du Règlement européen sur la protection des données (UE) 2016/679 (en anglais « General Data Protection Regulation », « GDPR ») comme les « données à caractère personnel obtenues par un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ».

Il s’agit de données particulières, qualifiées de données « sensibles » et qui sont traitées de la même manière que les données personnelles révélant l'origine raciale ou ethnique, les opinions politiques, les croyances religieuses ou philosophiques ou l'appartenance à un syndicat d’un individu (Article 9, paragraphe 1 du GDPR).

Ces données, par leur nature même, sont « liées à la personne et dénotent la relation profonde entre le corps, le comportement et l'identité de la personne », ce qui exige une prudence particulière lors de leur traitement (Autorité italienne de protection des données, mesure normative générale sur la biométrie du 12 novembre 2014, n. 513).

Parmi les données biométriques figurent, par exemple, les empreintes digitales, la reconnaissance de l’iris, de la voix ou de la démarche de la personne intéressée, mais encore la signature manuscrite graphométrie ou la topographie de la main.

Dès lors que les données biométriques sont qualifiées de données personnelles, la collecte de ces données est en principe interdite (Article 9, paragraphe 1 du GDPR). Toutefois, ce principe connaît un certain nombre d’exceptions si certaines conditions sont remplies.

L’employeur peut-il utiliser les données biométriques des salariés ? Oui, mais à certaines conditions…

L’usage des données biométriques des salariés de la part de l’employeur est légitime si les conditions posées à l’Article 9, paragraphe 2 du GDPR sont remplies.

En premier lieu, pour que les données biométriques de salariés puissent être utilisées il faut le consentement explicite du salarié au traitement de ces données, pour une ou plusieurs finalités déterminées, sauf si le droit de l'Union ou des États membres prévoit que l'interdiction liée à la collecte de ces données visée au paragraphe 1 ne peut être levée par la personne concernée.

À cet égard, la Cour de Cassation, avec une décision récente de 2023, en se prononçant sur un système de détection biométrique basé sur la capture de 96 informations géométriques de la main de chaque salarié, a reconnu l’illégitimité de ce système, parce que le consentement du salarié n’était pas « explicite » ou « spécifique » au sens de l’Article 23, paragraphe 3 du décret Législatif n. 196 de 2003, étant donné qu’il n’était pas lié à l'utilisation de l'outil de détection biométrique (Cour de Cassation, chambre sociale, 19 mai 2023, n. 13873).

En deuxième lieu, pour que le traitement des données biométriques soit pleinement légitime, il doit être nécessaire pour respecter les obligations et exercer les droits spécifiques du responsable du traitement ou de la personne concernée dans le domaine du droit du travail et de la sécurité sociale et de la protection sociale, dans la mesure où il est autorisé par le droit de l'Union ou des États membres ou par une convention collective conformément au droit des États membres, sous réserve de garanties appropriées pour les droits et intérêts fondamentaux de la personne concernée.

Parmi ces obligations et ces droits spécifiques, on peut citer l’exigence de l’employeur de protéger des biens particulièrement précieux de l'entreprise, d'accroître la sécurité sur le lieu de travail ou de protéger des lieux particulièrement « sensibles » contre le risque de vol (par exemple, les banques ou les aéroports).

Sur ce point, un système biométrique, basé sur la lecture des empreintes digitales des salariés, installé à l'intérieur des zones de vente duty free de l'aéroport de Rome Fiumicino a été jugé légitime, car l'installation d'un tel système avait été rendue nécessaire par le besoin de protéger les marchandises stockées dans les entrepôts (situés dans des endroits « généralement isolés et moins contrôlés que le reste de l'aéroport »), ainsi que les objets de valeur placés dans les coffres-forts (Autorité italienne de protection des données, décision du 18 juin 2015).

L’employeur doit toujours vérifier si les objectifs poursuivis peuvent être satisfaits avec d’autres modalités, moins invasives que celles impliquant l’usage des données biométriques (par exemple, accès par badges ou vidéosurveillance).

L’interdiction de détecter la présence du salarié sur le lieu de travail par le biais de la reconnaissance faciale : la décision du Garante Privacy du 28 mars 2024 n. 520

L’Autorité italienne de protection des données, avec une récente décision du 28 mars 2024, n. 520, a consacré le principe selon lequel il est strictement interdit pour l’employeur de détecter la présence des salariés sur le lieu de travail par le biais de la reconnaissance faciale.

Dans cette décision, le Garante Privacy a imposé des amendes très élevées, de 70.000, 20.000, 6.000, 5.000 et 2.000 euros respectivement, à des employeurs (en l’espèce, il s’agissait de cinq sociétés employées sur le même site d’élimination des déchets) qui avaient utilisé de manière illégitime un système de reconnaissance faciale pour contrôler la présence effective de leurs salariés sur le lieu de travail.

Selon le Garante, les employeurs n’avaient fourni aux salariés aucune information claire et détaillée (en Italien « informativa ») ni avaient effectué aucune évaluation d’impact, obligatoire en cas de risque élevé pour les droits et les libertés des personnes.

On rappelle que cette évaluation, expressément prévue par l’Article 35 du GDPR, visant à décrire un traitement des données afin d'en évaluer la nécessité et la proportionnalité ainsi que les risques qui y sont liés, en vue d'élaborer des mesures appropriées pour y faire face, doit être effectuée avant d’adopter le traitement choisi.

Outre les amendes imposées, la Garante Privacy a ordonné aux cinq sociétés de supprimer les données des salariés collectées illégalement.

Et les autres pays ? Le cas Plastic Forte en Espagne et le cas Walmart aux Êtas Unis

Pour conclure, on veut citer deux épisodes d’actualité particulièrement intéressants concernant l’usage des données biométriques des salariés par l’employeur, d’une part illégitime et d’autre part légitime.

Dans le premier cas, il s’agissait de la société espagnole Plastic Forte située à Alicante, spécialisée en la commercialisation des produits en plastique, qui avait utilisé la reconnaissance faciale de ses salariés pour contrôler le respect des horaires du travail et la productivité de ces derniers, de manière totalement illégitime.

En l’espèce, Plastic Forte avait demandé aux salariés une photographie d’eux-mêmes, en leur assurant qu’elle aurait utilisé ces images uniquement à des fins commerciales, en particulier pour la publication sur le site web, sur des brochures ou d’autres supports, mais en réalité elle les avait utilisées pour ses systèmes de vidéosurveillance.

Par conséquent, l’Autorité espagnole de protection des données (Agencia Española de Protección de Datos, « AEPD ») a sanctionné Plastic Forte avec une amende initiale de 20.000 euros, ensuite réduite à 12.000 euros, à la suite de la reconnaissance par la société de sa responsabilité, parce que, même si la société leur avait fourni une information claire, ladite information ne mentionnait pas l’usage des données biométriques (en particulier, de la reconnaissance faciale) de la part du personnel.

Sur la même ligne de celle adoptée par le Garante Privacy italien, l’AEPD, dans sa décision n. EXP202209921, a bien expliqué que l’usage de la reconnaissance faciale des salariés pour en détecter la présence est un « système d'identification très intrusif pour les droits et libertés des personnes concernées » et que son usage n’est pas a priori interdit, mais il nécessite une évaluation d’impact, qui doit inclure une analyse de la « nécessité et proportionnalité de ces systèmes ».

En revanche, la reconnaissance biométrique a été utilisé de manière légitime par la chaîne de supermarchés américaine Walmart, qui, à la suite d’un brevet déposé en 2018, a placé un système de capture des données biométriques sur la poignée d'un chariot de supermarché afin d'assurer la sécurité des consommateurs.

Le but poursuivi par Walmart était parfaitement légitime, en tant que le chariot de supermarché, connecté à Internet, était capable de surveiller le rythme cardiaque, la température et la vitesse de marche du consommateur, ainsi que son niveau de stress.

En d’autres termes, ce chariot « smart » était utilisé pour alerter les salariés du magasin en cas d’urgence ou de besoin d’aide par un consommateur.