Autorisation comme exception pour le traitement des données biométriques

Récemment, l'Autorité néerlandaise de protection des données (AP) a infligé une grosse amende, à savoir 725,000 9 euros, à une entreprise qui a scanné les empreintes digitales des employés pour la présence et l'enregistrement des heures. Les données biométriques, telles qu'une empreinte digitale, sont des données personnelles spéciales au sens de l'article 9 du RGPD. Ce sont des caractéristiques uniques qui peuvent être attribuées à une personne spécifique. Cependant, ces données contiennent souvent plus d'informations que nécessaire, par exemple pour l'identification. Leur traitement pose donc de grands risques dans le domaine des droits et libertés fondamentaux des personnes. Si ces données tombent entre de mauvaises mains, cela pourrait potentiellement entraîner des dommages irréparables. Les données biométriques sont donc bien protégées et leur traitement est interdit en vertu de l'article XNUMX du RGPD, sauf exception légale. Dans ce cas, l'AP a conclu que la société en question n'avait pas droit à une exception pour le traitement de données personnelles spéciales.

À propos de l'empreinte digitale dans le contexte du RGPD et de l'une des exceptions, à savoir une nécessité, nous avions précédemment écrit dans l'un de nos blogs: «Empreinte digitale en violation du RGPD». Ce blog se concentre sur l'autre motif d'exception alternatif: autorisation. Lorsqu'un employeur utilise des données biométriques telles que les empreintes digitales dans son entreprise, peut-il, en matière de confidentialité, suffire avec la permission de son employé?

Autorisation comme exception pour le traitement des données biométriques

Par autorisation, on entend un spécifique, informé et sans ambiguïté expression de volonté avec lequel quelqu'un accepte un traitement de ses données personnelles avec une déclaration ou une action active sans ambiguïté, conformément à l'article 4, section 11, du RGPD. Dans le cadre de cette exception, l'employeur doit donc non seulement démontrer que ses employés ont accordé la permission, mais aussi que cela a été sans ambiguïté, spécifique et informé. La signature du contrat de travail ou la réception du manuel du personnel dans lequel l'employeur n'a enregistré que l'intention de pointer complètement avec l'empreinte digitale, est insuffisante dans ce contexte, a conclu l'AP. À titre de preuve, l'employeur doit, par exemple, soumettre une politique, des procédures ou d'autres documents, qui montrent que ses employés sont suffisamment informés sur le traitement des données biométriques et qu'ils ont également donné l'autorisation (explicite) pour le traitement de celles-ci.

Si l'autorisation est accordée par le salarié, il doit en outre non seulement être «explicite' mais aussi 'donné gratuitement', selon l'AP. «Explicite» est, par exemple, une autorisation écrite, une signature, l'envoi d'un e-mail pour donner l'autorisation ou une autorisation avec vérification en deux étapes. `` Librement donné '' signifie qu'il ne doit y avoir aucune coercition derrière cela (comme c'était le cas dans le cas en question: en refusant de faire scanner l'empreinte digitale, une conversation avec le directeur / conseil suivi) ou que l'autorisation peut être une condition pour quelque chose différent. La condition «librement donnée» n'est en aucun cas remplie par l'employeur lorsque les salariés y sont obligés ou, comme dans le cas en question, la vivent comme une obligation de faire enregistrer leur empreinte digitale. En règle générale, en vertu de cette exigence, l'AP a considéré qu'étant donné la dépendance résultant de la relation entre l'employeur et l'employé, il est peu probable que l'employé puisse librement donner son consentement. Le contraire devra être prouvé par l'employeur.

Un employé demande-t-il la permission à ses employés de traiter son empreinte digitale? Ensuite, l'AP apprend dans le contexte de ce cas qu'en principe cela n'est pas autorisé. Après tout, les salariés dépendent de leur employeur et ne sont donc souvent pas en mesure de refuser. Cela ne veut pas dire que l'employeur ne peut jamais compter avec succès sur le motif de l'autorisation. Cependant, l'employeur doit disposer de preuves suffisantes pour faire aboutir son recours sur la base du consentement, afin de traiter les données biométriques de ses employés, telles que les empreintes digitales. Avez-vous l'intention d'utiliser des données biométriques au sein de votre entreprise ou votre employeur vous demande-t-il l'autorisation d'utiliser votre empreinte digitale, par exemple? Dans ce cas, il est important de ne pas agir immédiatement et d'accorder la permission, mais d'être d'abord correctement informé. Law & More les avocats sont des experts dans le domaine de la protection de la vie privée et peuvent vous fournir des informations. Avez-vous d'autres questions sur ce blog? S'il vous plaît contactez Law & More.

Partager