La délibération de la CNIL n° 2012-322 du 20 septembre 2012 relative aux appareils fonctionnant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la restauration sur les lieux de travail vient d’être publiée au JO.
Elle modifie la précédente délibération n° 2006-101 du 27 avril 2006.
Désormais, tout traitement automatisé de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du contour de la main dans le but de contrôler la gestion des horaires doit faire l’objet d’une demande d’autorisation auprès de la commission dans les formes prescrites par les articles 25-1 (8°) et 30 de la loi du 6 janvier 1978 modifiée.
Il est intéressant de lire la motivation de la CNIL :
» Le 27 avril 2006, la commission a adopté une autorisation unique de mise en oeuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d’accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail (AU n° 7).
La commission a, depuis, été saisie de demandes d’autorisation concernant d’autres biométries telles que l’empreinte digitale ou le réseau veineux des doigts de la main dont la finalité était également la gestion des horaires des salariés.
Constatant que, depuis 2006, les techniques de contrôle des salariés sur leurs lieux de travail se sont développées et sophistiquées (géolocalisation, cybersurveillance, biométrie), il lui a semblé primordial de recueillir l’avis d’organisations syndicales et patronales, de la direction générale du travail ainsi que de certains professionnels du secteur.
Un consensus s’est clairement exprimé considérant l’utilisation de la biométrie aux fins de contrôle des horaires comme un moyen disproportionné d’atteindre cette finalité. La raison principale avancée est le risque accru de détérioration du climat social, allant à l’encontre de la relation de confiance employeur-salarié. Les organisations auditionnées ont souligné que, lorsque le contrôle des horaires par pointeuse est nécessaire, les outils de gestion des horaires sans biométrie (exemple : pointeuse à badge) apparaissent comme suffisants.
Dès lors, même si le contour de la main est une biométrie dite « sans trace », son recours implique d’utiliser une partie de son corps, ce qui en soi est disproportionné au regard de la finalité de gestion des horaires.
La commission estime qu’il n’en est pas de même en ce qui concerne les contrôles d’accès aux locaux ainsi qu’au restaurant d’entreprise ou administratif reposant sur un dispositif de reconnaissance du contour de la main, notamment pour des raisons de sécurité et au regard des risques plus limités pour la vie privée des personnes.
La commission a donc décidé de modifier l’AU n° 7 en ce qu’elle autorisait l’utilisation du contour de la main aux fins de gestion des horaires.
Il y a lieu, en l’état des connaissances sur la technologie utilisée, de faire application des dispositions de l’article 25-1 (8°) qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes et de l’article 25-II aux termes duquel les traitements qui répondent à une même finalité portent sur des catégories de données identiques et les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission.
Le responsable de traitement mettant en oeuvre un dispositif reposant sur la reconnaissance du contour de la main dans le respect des dispositions de cette décision unique adresse à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation.
Décide que les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en oeuvre ces traitements.«