Par un jugement du 19 avril dernier [juriscom.net], le TGI de Paris a tranché cette question au regard de l’article L. 120-2 du Code du travail, selon lequel « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».
Ainsi, si un système de contrôle biométrique des salariés peut être mis en place, il doit être justifié et proportionné au but recherché. Ce qui n’a pas été rapporté, en l’espèce, par la filiale de la SNCF, Effia Services, prestataire de services pour le transport public de voyageurs, alors qu’elle souhaitait mettre en place un lecteur d’empreintes digitales des salariés pour contrôler leur temps de présence dans l’entreprise.
En effet, pour le juge, d’autres systèmes moins attentatoires à la liberté individuelle des salariés, comme le badge, n’en seraient pas moins efficaces par rapport au but poursuivi. Il s’ensuit que le tribunal fait interdiction à la société Effia Services de mettre en place le système de "badgeage" par empreintes digitales.
La CNIL elle-même avertit sur son site [Cnil.fr] que « Compte tenu des caractéristiques propres aux empreintes digitales et des usages possibles des bases de données qui pourraient ainsi être constituées, [la Commission] considère que la mémorisation et le traitement de ces données biométriques doivent être justifiés par des exigences impérieuses en matière de sécurité ou d'ordre public ». Exigences impérieuses qui ne se retrouvent pas dans le contrôle des horaires des salariés.
Dans son rapport annuel 2004 [ladocumentationfrancaise.fr, p.94], la CNIL souligne, par ailleurs, la particularité des données biométriques en tant que données personnelles, particularité qui justifie le contrôle préalable de la Commission selon la nouvelle loi Informatique et libertés. La CNIL s’est déjà prononcée favorablement à l’égard de tels traitements, notamment lors du tout premier dossier que la Commission ait eu à examiner en 1997. Il s’agissait alors de la mise en place par la Banque de France d’un dispositif de reconnaissance par empreintes digitales pour l'accès à des zones hautement sécurisées (voir par exemple l’extrait de son rapport d'activité 2000, Les contrôles d'accès par biométrie, Cnil.fr - PDF).
Par contre, la CNIL a considéré ces systèmes excessifs au regard de la finalité poursuivie, s’agissant, pour un collège, de gérer l'accès à la cantine scolaire par la reconnaissance des empreintes digitales, ou encore s’agissant de la gestion des horaires par une compagnie aérienne au moyen d'une pointeuse biométrique des empreintes digitales des employés, ou enfin, le fait, pour une préfecture, de veiller, toujours par le biais des empreintes digitales, à ce que des fonctionnaires n'échangent pas leurs badges pour tromper leur hiérarchie sur les horaires de présence effectivement réalisés.
Ce qui a pu faire dire au juge en l’espèce, que l’utilisation de l’empreinte digitale, « qui met en cause le corps humain et porte ainsi atteinte aux libertés individuelles, peut cependant se justifier lorsqu’elle a une finalité sécuritaire ou protectrice de l’activité exercée dans des locaux identifiés » (voir Fabrice Février, "L’interdiction du contrôle biométrique des horaires de travail :le TGI de Paris confirme la position de la cnil", Droit-ntic.com, 27 avril 2005).
Il semble que la décision du 19 avril ne soit que le prélude d’un nouveau contentieux sur un système de traitement des données personnelles appelé à se généraliser, mais heureusement pas sans garde-fous (voir le débat national sur la carte d’identité électronique prévue pour 2007 sur le site du Forum des droits sur l'internet : Foruminternet.org).
Sandrine Rouja
Rédactrice en chef de Juriscom.net
