La question de la collecte par des employeurs de données à caractère personnel concernant leurs salariés devient une préoccupation de premier plan pour la CNIL.
Malgré le droit absolu au respect de l’intimité de la vie privée reconnu aux salariés par la chambre sociale de la Cour de cassation en octobre 2001, dans le cadre de l’utilisation de leur messagerie électronique professionnelle, cette même Cour a autorisé le 17 mai 2005, sous certaines conditions, l’employeur à accéder aux fichiers personnels de ses salariés, contenus dans le disque dur. Il doit exister un risque ou un évènement particulier justifiant un tel contrôle. Par conséquent l’employeur doit respecter le principe de proportionnalité mais également celui de finalité.
En outre, on assiste depuis plusieurs années au développement de projets de surveillance des employés via des dispositifs biométriques : relevé des empreintes digitales, du contour de la main, de l’iris, etc. La mise en place de tels systèmes est strictement réglementée par la loi Informatique et Libertés du 6 janvier 1978, modifiée en août 2004 : elle est subordonnée à une demande d’autorisation ou de déclaration auprès de la CNIL compte tenu des importants risques d’atteintes à la vie privée et aux libertés individuelles.
La CNIL apprécie la validité de ces dispositifs au cas par cas ; toutefois elle a, au fil de ses décisions, émis plusieurs lignes directrices :
la CNIL privilégie le stockage des données sur un support individualisé (carte à puce individuelle ou clef USB par exemple). Le recours à une base de données centralisée suscite de réelles réticences. La commission a émis des avis défavorables à la mise en œuvre de ce type de traitement. On part ainsi du principe que la centralisation des données biométriques présente des risques de détournement.
la Commission tend à favoriser les dispositifs biométriques « sans trace » car ces procédés ne laissent pas de traces susceptibles d’être utilisées à des fins étrangères à la finalité recherchée par le responsable du traitement, contrairement aux dispositifs « avec traces » tels les empreintes digitales.
dans le cas des biométries « avec trace », la CNIL met en relation le mode de stockage des données (fichier ou support individuel) avec l’existence ou non d’un impératif particulier de sécurité.
En savoir plus :
