Peut-on obliger un caissier à utiliser son empreinte digitale pour pouvoir travailler ?

By Nicolas Roland on in Employment law Information Technology Privacy

shutterstock_1030117303 (1)

Non ; c’est, du moins, ce qu’a jugé le 12 août dernier le tribunal d’Amsterdam dans le cas de figure qui lui était soumis.

De quoi était-il question ?

Une enseigne de chaussures avait récemment introduit dans tous ses magasins un système d’empreintes digitales pour ses caisses enregistreuses. Chaque employé devait s’identifier et se connecter à une caisse en plaçant son doigt sur un scanner qui lisait ensuite l’empreinte digitale, la convertissait en code et comparait ce code à celui déjà connu dans le système et – si le code correspondait – donnait alors accès à cette caisse. A défaut, il n’était pas possible pour l’employé d’effectuer son travail.

Ce système remplaçait celui qui était précédemment utilisé et qui nécessitait pour les employés d’encoder un numéro personnel pour accéder aux caisses enregistreuses. A noter que ce nouveau système était également utilisé comme pointeuse digitale.

Une employée, toutefois, s’y opposa en jugeant cette façon de procéder comme étant contraire à l’article 9 (1) du RGPD qui interdit le traitement de données biométriques en vue d’identifier une personne physique de manière unique. Cette employée considérait également que l’exception prévue dans la loi néerlandaise implémentant le RGPD et autorisant la collecte de données biométriques à des fins d’authentification ou de sécurité ou pour des raisons d’intérêt général supérieur n’avait, ici, pas lieu d’être.

Pour l’entreprise, ce système s’avérait pourtant nécessaire pour sécuriser les informations sensibles qui étaient accessibles via les caisses enregistreuses. Celles-ci permettaient en effet d’accéder non seulement aux informations financières, mais également aux données personnelles des employés et clients. La société expliquait à cet égard que l’article 24 du RGPD lui imposait, en tant que responsable du traitement, de prendre les mesures techniques et organisationnelles appropriées, ce à quoi ne satisfaisait plus le précédent système. Apparemment, les codes personnels des employés pouvaient trop facilement faire l’objet d’une appropriation par des tiers malveillants, sur place ou même à distance puisque les caisses en question étaient reliées à Internet. L’entreprise faisait également état d’un nombre important de cas de fraude impliquant des employés qui utilisaient les codes personnels de collègues pour procéder à des retraits non autorisés d’argent liquide.

La société affirmait avoir envisagé une autre méthode qui serait moins « intrusive », à l’instar d’un badge personnel, mais cela n’effaçait pas, selon elle, le risque d’un accès non autorisé au sein même d’un magasin par un tiers ou un collègue mal intentionné se procurant le badge d’un autre employé.  

Enfin, l’entreprise soutenait qu’aujourd’hui, les empreintes digitales sont de plus en plus utilisées pour la sécurité de données, évoquant notamment la génération actuelle des smartphones qui présentent presque tous cette fonction. Cette utilisation ne serait plus limitée à la protection d’objets présentant un risque élevé pour la sécurité, tels qu’une centrale nucléaire.

Le tribunal n’a cependant pas été convaincu par ses arguments…

Pour lui, la lutte contre la fraude que poursuit l’entreprise, aussi légitime soit-elle, ne cadre pas avec les fins d’authentification ou de sécurité qui sont prévues par la loi néerlandaise et qui autorisent l’utilisation de données biométriques.

Egalement, en ce qui concerne la sécurité des données, l’entreprise ne démontre pas avoir suffisamment réfléchi à des alternatives moins intrusives. Pour le tribunal, elle aurait dû davantage expliquer pourquoi elle a opté pour ce système d’empreintes digitales, par exemple sur base de documents pesant le pour et le contre des différentes méthodes envisagées. Ainsi, par exemple l’utilisation combinée d’un code et d’un badge personnels n’aurait pas été suffisamment étudiée. Enfin, le tribunal relève le caractère disproportionné de ce système, tandis qu’il apparaît que l’entreprise n’avait, semble-t-il, prévu aucune autre mesure de sécurité ; il n’y avait ni caméras de sécurité, ni barrières d’alarme à l’entrée et pas de casiers destinés aux affaires personnelles des employés.  

Ce jugement (7728204-CV-VERZ-19-9686) est disponible sur www.rechtspraak.nl