Dans une décision du 6 septembre 2024, la Chambre Contentieuse de l’Autorité belge de protection des données (APD) a confirmé son précédent point de vue (voir notre newsflash du 23 décembre 2021 sur la recommandation de l’APD relative au traitement des données biométriques), selon lequel il est peu probable qu’un consentement valable quant au traitement de données biométriques soit donné dans le contexte de la relation de travail. En outre, la Chambre contentieuse a estimé que la demande de droit d’accès pouvait valablement être exercée par l’intermédiaire d’un secrétaire syndical et que l’employeur pouvait répondre oralement à celui-ci, plutôt que directement au travailleur lui-même.
Les faits
Le travailleur (plaignant) a d'abord été occupé en tant qu’intérimaire, puis en tant que travailleur de l'employeur. L'employeur utilisait un système d'enregistrement du temps de travail basé sur les empreintes digitales. Le fournisseur du système était une filiale d'un groupe ayant son siège au Japon. Le travailleur concerné craignait une violation du RGPD, notamment en raison du risque de transfert des données vers un pays non-membre de l'UE, dans lequel la protection est moindre.
Traitement des données biométriques
La Chambre Contentieuse a confirmé, dans sa décision du 6 septembre 2024 que, lors du traitement de catégories particulières de données à caractère personnel, le responsable du traitement doit disposer à la fois d'une base légale et d'un motif d'exception.
Les données biométriques sont des données à caractère personnel résultant d'un traitement technique spécifique relatif aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, sur la base desquelles une identification univoque de cette personne physique est possible ou confirmée, telles que les images faciales ou les données d'empreintes digitales. Il s'agit d'une catégorie particulière de données à caractère personnel au sens de l'article 9 du RGPD, qui bénéficie d'une protection renforcée.
Pas de consentement valable
L'employeur a invoqué plusieurs bases juridiques au cours de la procédure, mais a finalement estimé que le traitement était basé sur le consentement des travailleurs. La Chambre Contentieuse a examiné si ce consentement avait été valablement obtenu, mais a jugé que ce n’était pas le cas, notamment pour les raisons suivantes :
- Pas de consentement éclairé : l’information n’a été communiquée lors de l'entrée en service qu'au moyen d'une brochure de bienvenue. Elle n’a été incluse que dans un second temps au sein du règlement de travail de l’entreprise. La Chambre Contentieuse a estimé que la brochure de bienvenue contenait des informations insuffisantes concernant l’utilisation des empreintes digitales. Le règlement de travail contenait par la suite les informations suffisantes, mais il était trop tard car le travailleur avait déjà introduit la plainte. Par conséquent, les travailleurs n'ont pas été informés du traitement de leurs données à caractère personnel au moment où ils auraient dû donner leur consentement.
- Pas de consentement indubitable : bien que les travailleurs aient signé le règlement de travail et la brochure de bienvenue avant de les recevoir, la Chambre Contentieuse expose que cela ne signifie pas qu'il y ait eu un consentement sans équivoque de ces travailleurs quant au traitement de leurs données à caractère personnel.
- En outre, l'employeur a affirmé que les travailleurs disposaient de la possibilité de demander un système alternatif d'enregistrement du temps de travail. Toutefois, la Chambre Contentieuse a constaté que cette option n'était nulle part explicitement mentionnée au moment de l’implémentation du système.
- Pas de consentement libre : le consentement n'est pas considéré comme libre parce qu'il existe des conséquences négatives à ne pas consentir. Par exemple, la brochure de bienvenue indiquait explicitement que la rémunération des travailleurs était basée sur les « tics ». En outre, le règlement de travail rendait l'utilisation du système d’enregistrement du temps de travail obligatoire pour tous les travailleurs et prévoyait des sanctions en cas de non-respect. L'enregistrement du temps de travail par le bais des empreintes digitales était également le seul moyen d'enregistrement du temps de travail en vigueur chez l'employeur. Les travailleurs ne pouvaient donc pas refuser d'utiliser ce système sans conséquences négatives.
L'employeur a argumenté qu'aucune objection n'avait été soulevée par les autres travailleurs et que cette non-opposition signifiait par conséquent que le consentement avait été donné librement. Cependant, la Chambre Contentieuse a rejeté cet argument. Elle a rappelé, conformément aux lignes directrices de l’European Data Protection Board (EDPB) sur le consentement, que le déséquilibre des pouvoirs entre l'employeur et le travailleur rend très difficile le consentement libre dans un contexte de travail. Les travailleurs, en raison de leur position de dépendance, sont moins susceptibles de s'opposer à une obligation imposée par leur employeur. On peut en déduire que la Chambre Contentieuse n'exclut pas de facto le consentement comme base juridique dans une relation de travail, mais qu'elle interprète cette notion de consentement de manière assez stricte dans ce contexte. On suppose que cela implique au moins qu'une solution alternative au système d’enregistrement du temps de travail soit proposée.
Finalité
La Chambre Contentieuse a également remarqué que les finalités du système d'enregistrement du temps de travail n'étaient pas toujours indiquées dans la documentation disponible. Les finalités devraient être déterminées avant l'obtention des données. Les autres finalités invoquées par l'employeur devant la Chambre Contentieuse n'ont été ajoutées que plus tard.
Traitement minimal des données
Pour se défendre, l'employeur a invoqué les exigences élevées de ses clients en matière de sécurité. Pour obtenir certaines certifications, il devrait répondre à des conditions très restrictives, ce qui l'a amené à utiliser le système d'enregistrement du temps de travail par le biais d’empreintes digitales. Cela n'a cependant pas convaincu la Chambre Contentieuse.
La Chambre Contentieuse a exposé qu’il y avait de nombreuses alternatives à l'enregistrement biométrique du temps de travail, lesquelles pourraient atteindre les finalités recherchées en portant moins atteinte à la vie privée des travailleurs, comme les pointeuses, les cartes dédiées au personnel ou les codes d'accès. Elle a donc jugé que le traitement des empreintes digitales n'était pas nécessaire pour atteindre les finalités poursuivies. D’autre part, elle a souligné que l'utilisation de données biométriques pourrait être pertinente lorsque des mesures moins strictes ne sont pas suffisantes, par exemple dans des domaines où la sécurité est particulièrement importante, tels que la manipulation de denrées alimentaires ou de substances dangereuses. Elle a toutefois noté que ce n'était pas le cas ici.
Analyse d’impact pour la protection des données (AIPD)
La Chambre Contentieuse a estimé que l'utilisation de données biométriques pour l’enregistrement du temps de travail des travailleurs pouvait présenter des risques importants pour la vie privée des personnes concernées. Elle a également examiné les critères établis par le groupe de travail article 29 et a constaté que cinq des neuf critères étaient remplis. Sur la base de cette analyse, elle a conclu que le traitement envisagé était susceptible d'engendrer un risque important pour les droits et libertés des personnes concernées et qu'une analyse d'impact sur la protection des données (AIPD ou DPIA - Data Protection Impact Assessment) était donc obligatoire. L'employeur aurait dû effectuer cette analyse avant de commencer le traitement des données biométriques. En ne le faisant pas, l'employeur a enfreint le RGPD.
Demande d’accès par le bais du secrétaire syndical
Le travailleur avait fait deux demandes d’accès par écrit, une première fois par courrier électronique et une seconde fois par courrier recommandé. En ce qui concerne la première demande, la Chambre Contentieuse a jugé que l'employeur était réputé avoir respecté ses obligations dans la mesure où il aurait répondu oralement à cette demande lors d'une réunion avec le secrétaire syndical.
L'initiative de cette réunion ayant été prise indirectement - par l'intermédiaire du secrétaire syndical - par le travailleur, la Chambre Contentieuse a estimé qu’il était légalement permis à l’employeur de répondre oralement à cette demande d’accès.
Sanction
L'employeur a été condamné à une amende de 45.000 euros pour les infractions mentionnées ci-avant, ainsi que pour d'autres infractions.
Point d'attention
En tant qu'employeur, nous vous recommandons d’être prudents lorsque vous traitez les données biométriques (telles que les empreintes digitales) de vos travailleurs. Ce n'est que dans des cas exceptionnels que le consentement donné par un travailleur sera accepté comme base juridique pour le traitement de ces données. En outre, les principes de limitation de la finalité et de traitement minimal des données doivent être respectés et une évaluation de l'impact sur la protection des données sera nécessaire.