La badgeuse biométrique est-elle conforme au RGPD en Belgique ?

Question

Accepted Answer

Les donn&eacute;es biom&eacute;triques (comme les empreintes digitales ou la reconnaissance faciale) sont consid&eacute;r&eacute;es par le R&egrave;glement G&eacute;n&eacute;ral sur la Protection des Donn&eacute;es (RGPD) comme des donn&eacute;es sensibles qui b&eacute;n&eacute;ficient d'une protection accrue.
En Belgique,  l'Autorit&eacute; de Protection des Donn&eacute;es (APD)  a adopt&eacute; une position particuli&egrave;rement stricte concernant l'utilisation de la biom&eacute;trie pour le pointage des employ&eacute;s.
Un usage strictement interdit (sauf exceptions rares)
Le point de d&eacute;part est clair : en Belgique, l'utilisation de l'empreinte digitale ou de la reconnaissance faciale pour enregistrer les heures de travail est, dans la grande majorit&eacute; des cas, contraire au RGPD et aux directives de l'APD.

Principe de n&eacute;cessit&eacute; : Le RGPD exige que le traitement des donn&eacute;es soit &laquo; n&eacute;cessaire &raquo; pour l'objectif vis&eacute;. Pour le pointage, l'APD estime que des solutions moins intrusives (badge, code PIN, application mobile) existent et sont suffisantes.
Consentement non libre : M&ecirc;me si l'employ&eacute; donne son consentement, celui-ci est consid&eacute;r&eacute; comme non "libre" dans un contexte de subordination (relation employeur-employ&eacute;), et ne peut donc pas justifier le traitement des donn&eacute;es sensibles.
Sanctions : L'APD a d&eacute;j&agrave; inflig&eacute; des amendes importantes &agrave; des entreprises belges utilisant des syst&egrave;mes d'enregistrement par empreinte digitale.

Quand la biom&eacute;trie pourrait-elle &ecirc;tre envisag&eacute;e ?
Il existe une diff&eacute;rence subtile entre la biom&eacute;trie utilis&eacute;e pour le pointage des heures et celle utilis&eacute;e pour le contr&ocirc;le d'acc&egrave;s &agrave; des zones hautement s&eacute;curis&eacute;es :

Contr&ocirc;le d'acc&egrave;s critique : L'utilisation de la biom&eacute;trie peut &ecirc;tre justifi&eacute;e pour des raisons imp&eacute;rieuses de s&eacute;curit&eacute; (acc&egrave;s &agrave; une salle de serveurs, &agrave; des produits dangereux), et non pour la seule gestion des heures.
Stockage sur le badge : Si l'empreinte digitale est crypt&eacute;e et stock&eacute;e uniquement sur le badge personnel du salari&eacute; (et non dans une base de donn&eacute;es centralis&eacute;e de l'entreprise), le risque est r&eacute;duit. Cependant, cette m&eacute;thode reste une zone grise n&eacute;cessitant une analyse d'impact sur la protection des donn&eacute;es (AIPD) tr&egrave;s rigoureuse.


Recommandation : Pour  la simple gestion des temps de travail , les PME/TPE belges doivent imp&eacute;rativement privil&eacute;gier les solutions bas&eacute;es sur le badge, le code PIN, ou l'application mobile, qui sont conformes au RGPD et facilement auditables.
&Eacute;vitez les amendes :  demandez un devis gratuit  pour trouver le meilleur assistant de conformit&eacute; RGPD de votre syst&egrave;me de pointage !