L'utilisation de badgeuses biométriques reposant sur la reconnaissance du contour de la main et permettant de gérer les horaires des salariés nécessite désormais l'autorisation de la Cnil.
La Commission nationale de l'informatique et des libertés (CNIL) modifie sa position dans sa délibération du 20 septembre 2012 (n° 2012-322, JO, 12 octobre 2012).
Depuis 2006, la mise en place de badgeuses biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail bénéficiait de formalités allégées : dès lors que ces dispositifs respectaient le cadre établi par la Cnil, leur utilisation pouvait faire l'objet d'un simple engagement de conformité (Délib. CNIL n° 2006-101, 27 avr. 2006 : JO, 16 juin).
La CNIL considérait que la société pouvait mettre en place des badgeuses biométriques reposant sur la reconnaissance du contour de la main et contrôler ainsi les horaires des travailleurs. La société devait simplement informer la CNIL de cette mise en place et signer un « acte de conformité » par lequel elle s'engageait à protéger les données à caractère personnel.
Maintenant la CNIL considère que l'utilisation de badgeuses biométriques reposant sur la reconnaissance du contour de la main est un moyen disproportionné lorsque ces badgeuses ont pour objet de contôler les horaires des salariés.
Leur installation doit donc désormais, faire l'objet d'une autorisation préalable de la commission. L'engagement de conformité ne suffit plus.
La CNIL dispose d'un délai de deux mois (délai renouvelable une fois sur décision motivée de son président) à l'issu duquel la demande d'autorisation est réputée rejetée en l'absence de réponse.
Cette délibération est rétroactive puisque les sociétés disposant déjà de ce dispositif disposent d'un délai de 5 ans à compter du 12 octobre 2012 pour régulariser leur situation.
Les entreprises disposant déjà d'un dispositif biométrique ayant pour objet la gestion des horaires des salariés ont un délai de 5 ans à compter du 12 octobre 2012 pour régulariser leur situation.
Par contre les formalités demeurent inchangées, pour les entreprises qui souhaitent mettre en place un tel dispositif pour contrôler l'accès aux locaux, au restaurant d'entreprise. Dans ce cas, il suffit d'adresser à la Cnil une déclaration comportant un engagement de conformité.
Délibération n° 2012-322 du 20 septembre 2012 sur Legifrance.gouv