Il s’agit d’abord pour l’employeur de contrôler l’accès des salariés à leur lieu de travail, ou pour les salariés itinérants, de pouvoir les localiser. Il s’agit essentiellement des badges, du recours aux empreintes digitales mais aussi de l’utilisation d’un système de GPS pour les itinérants.
Les badges d’accès à l’entreprise
Beaucoup de société attribuent un badge à leurs salariés permettant à ces derniers d’avoir accès à leur lieu de travail ou encore à la cantine. Parfois, ce badge ne leur permet pas d’avoir accès à certaines parties de l’entreprise. Si cette restriction peut se comprendre pour les salariés « ordinaires », les salariés investis d’un mandat doivent pouvoir se rendre librement dans les différents locaux de l’entreprise où travaillent des salariés. En effet, les représentants du personnel jouissent d’une liberté de circulation dans l’entreprise, notamment pour prendre contact avec les salariés à leur poste de travail. Seules d’impérieuses raisons de sécurité (par exemple activité dans une centrale nucléaire, usine chimique…) pourrait justifier certaines restrictions. Si les restrictions imposées aux représentants du personnel ne sont pas justifiées, le délit d’entrave en encouru par l’employeur. Les représentants du personnel doivent pouvoir là où des salariés travaillent. Dans la mesure où ces badges collectent et permettent un traitement de données personnelles, ils doivent faire l’objet d’une déclaration à la CNIL. A défaut, toute sanction prise à l’encontre d’un salarié récalcitrant est injustifiée. La Cour de cassation a ainsi eu l’occasion de juger sans cause réelle et sérieuse le licenciement d’un salarié intervenu en raison de son refus réitéré d’utiliser le badge que lui avait remis son employeur. Cass. soc. 6 avril 2004 n° 01-45227 (P).
Les empreintes digitales
Dans une délibération concernant la demande d’avis d’un centre hospitalier, la CNIL a posé les conditions dans lesquelles un tel système pouvait être mis en place. Il s’agissait pour le centre hospitalier de remplacer le badge magnétique par un mécanisme de reconnaissance des empreintes digitales. Pour la CNIL, le recours à la biométrie associée aux nouvelles technologies peut être de nature à apporter une réponse adaptée à certaines situations dans lesquelles l’identification des personnes doit être parfaitement assurée. Cependant, le surcroît de sécurité et les commodités d’usage qui sont attendues du recours aux techniques biométriques ont, le plus souvent, pour contrepartie l’enregistrement dans une base de données informatique des éléments physiques d’identification des personnes. Or, les empreintes digitales font partie des données biométriques qui laissent des traces pouvant être exploitées à des fins d’identification des personnes à partir des objets les plus divers que l’on a pu toucher ou avoir en main. Aussi la constitution d’une base de données d’empreintes digitales est-elle susceptible d’être utilisée à des fins étrangères à la finalité recherchée par sa création.
C’est au regard de l’ensemble de ces considérations qu’il y a lieu pour la Commission d’apprécier, dans chaque cas, si le recours à des techniques de reconnaissance d’éléments biométriques et la constitution d’une base de données sont, compte tenu des caractéristiques de l’élément d’identification physique retenu et des usages possibles des bases de données ainsi constituées, adaptés et proportionnés à la finalité assignée au dispositif. La Commission considère ainsi que seul un impératif particulier de sécurité est susceptible de justifier la centralisation de données biométriques. (Elle a ainsi rendu un avis favorable à la mise en oeuvre d’un contrôle d’accès aux zones réservées de sûreté des aéroports d’Orly et de Roissy reposant sur un système de reconnaissance de l’empreinte digitale) Dans le cas d’espèce, le gabarit biométrique serait enregistré non pas sur un support individuel (tel qu’une carte à puce) détenu par la personne concernée, mais dans le lecteur d’empreintes digitales qui, comme une base de données centralisée, n’est pas de nature à garantir la personne concernée contre toute utilisation détournée de ses données biométriques. La Commission considère que l’objectif d’une meilleure gestion des temps de travail, s’il est légitime, ne paraît pas de nature à justifier l’enregistrement dans un lecteur biométrique des empreintes digitales des personnels du Centre hospitalier. Aussi le traitement pris dans son ensemble n’apparaît-il ni adapté ni proportionné à l’objectif poursuivi.
La géolocalisation ou GPS
De plus en plus d’entreprises, par exemple les sociétés de dépannage ou de taxis, utilisent des systèmes permettant de géolocaliser les véhicules de leurs employés. Mais ce système de contrôle pourrait tenter nombres d’employeurs dont les salariés sont itinérants. La principale donnée collectée par les systèmes de géolocalisation est relative au positionnement du véhicule : la position d’un véhicule à un instant « t » est affichée sur une carte. Elle peut être associée à d’autres informations tel que l’itinéraire utilisé par le conducteur, les temps d’arrêt, la vitesse moyenne… Dans la mesure où ces données sont relatives à un employé identifié (on sait quel employé conduit tel véhicule), le système de géolocalisation GSM/GPS constitue un « traitement de données à caractère personnel ». Par conséquent, un employeur qui souhaiterait utiliser un dispositif de géolocalisation doit effectuer une déclaration à la CNIL, qui vérifiera que les principes relatifs à la protection de données à caractère personnel sont bien respectés. La CNIL a adopté, sur ce sujet, une recommandation le 16 mars 2006.
A ce titre, les entreprises voulant avoir recours à ces systèmes doivent avant tout s’interroger sur le caractère proportionné ou non d’un tel outil : suivre les employés lors de tous leurs déplacements n’est-il pas démesuré par rapport à la nature des tâches qu’ils effectuent ?
Finalités de la géolocalisation
Pour la CNIL, la géolocalisation ne peut être admise que si elle poursuit les finalités suivantes : - la sûreté ou la sécurité de l’employé lui-même ou des marchandises ou véhicules dont il a la charge (travailleurs isolés, transports de fonds et de valeurs, etc.) ; - une meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, (interventions d’urgence, chauffeurs de taxis, flottes de dépannage, etc.) ; - le suivi et la facturation d’une prestation de transport de personnes ou de marchandises ou d’une prestation de services directement liée à l’utilisation du véhicule (ramassage scolaire, nettoyage des accotements, déneigement routier, patrouilles de service sur le réseau routier, etc.); - le suivi du temps de travail, lorsque ce suivi ne peut être réalisé par d’autres moyens. En revanche, l’utilisation d’un système de géolocalisation ne saurait être justifiée lorsqu’un employé dispose d’une liberté dans l’organisation de ses déplacements (visiteurs médicaux, VRP, etc.). Quand il est admis, le dispositif de géolocalisation ne doit pas aboutir à un contrôle permanent du salarié.
Durée de conservation des données
La CNIL estime que les données collectées par système de géolocalisation ne peuvent, en principe être conservées plus de 2 mois. Toutefois, « elles peuvent être conservées pour une période supérieure à deux mois si une telle conservation est rendue nécessaire soit dans un objectif d’historique des déplacements à des fins d’optimisation des tournées, soit à des fins de preuve des interventions effectuées lorsqu’il n’est pas possible de rapporter la preuve de cette intervention par un autre moyen. Dans ces cas, une durée de conservation d’un an paraît proportionnée, cette durée ne faisant pas obstacle à une conservation plus longue en cas de contestation, dans ce délai d’un an, des prestations effectuées. Dans le cadre du suivi du temps de travail, seules les données relatives aux horaires effectués peuvent être conservés pour une durée de cinq ans ».
Protection de la vie privée
Par ailleurs, une distinction doit être opérée entre les véhicules de fonction et les véhicules de société. La CNIL analyse en effet les dispositifs de façon différente : le véhicule de société ne peut en principe être utilisé par un employé en dehors de ses heures de travail à la différence du véhicule de fonction, qui constitue un avantage en nature. La CNIL recommande dès lors que les dispositifs de géolocalisation installés sur les véhicules de fonction disposent d’un système d’interrupteur permettant aux employés de les désactiver et ainsi de préserver leur vie privée. Un procédé identique peut d’ailleurs également être envisagé pour les véhicules de société qui serviraient à des fins privées, par exemple lorsque l’employeur tolère que ses employés utilisent leur véhicule pour rentrer à leur domicile une fois leurs horaires de travail effectués.
Protection des représentants du personnel
Pour la CNIL « les employés investis d’un mandat électif ou syndical ne doivent pas être l’objet d’une opération de géolocalisation lorsqu’ils agissent dans le cadre de l’exercice de leur mandat ».
Information des salariés
L’employeur doit informer ses employés de la mise en oeuvre du dispositif de géolocalisation et des informations qui vont être collectées par ce biais. L’information doit porter sur :
- de la finalité ou des finalités poursuivie(s) par le traitement de géolocalisation ;
- des catégories de données de localisation traitées ;
- de la durée de conservation des données de géolocalisation les concernant ;
- des destinataires ou catégories de destinataires des données ;
- de l’existence d’un droit d’accès, de rectification et d’opposition et de leurs modalités d’exercice ;
- le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.