L’autorité de contrôle italienne a sanctionné un employeur pour avoir mis en œuvre un système de reconnaissance faciale sans base légale et en violation du principe de minimisation.
Saisie de la plainte d’un salarié, l’autorité de contrôle italienne a analysé la conformité au RGPD d’un système de reconnaissance faciale, mis en œuvre par un employeur, permettant un contrôle d’accès sur le lieu de travail, d’une part, et un suivi de la présence des employés et du temps de travail, d’autre part.
Un système de reconnaissance faciale conforme, selon l’employeur
Pour sa défense, l’employeur indiquait :
- Que le système a été installé à la suite des recommandations de sa maison mère ;
- Que les salariés ont été dument informés du traitement de leurs données personnelles, en conformité avec l’article 13 du RGPD ;
- Qu’une analyse d’impact a été réalisée ;
- Et surtout, que les salariés ont consenti au traitement de leurs données personnelles, y compris au traitement de leurs données biométriques et donc que le traitement reposait sur une base légale.
Un système de reconnaissance faciale illicite, selon l’autorité de contrôle
L’autorité de contrôle italienne, a considéré, au contraire, que, pour les deux finalités rappelées ci-dessus, le traitement ne reposait sur aucune base légale valable. En effet, elle indiquait que :
- « Compte tenu de l’asymétrie » dans les relations de travail entre l’employeur et les salariés, le consentement n’est pas une base légale appropriée au traitement, ni en vertu de l’article 6 (licéité du traitement), ni en vertu de l’article 9 du RGPD (traitement portant sur des catégories particulières de données à caractère personnel) ;
- Les données biométriques sont des données sensibles dont le traitement par un employeur n’est autorisé que s’il est nécessaire « aux fins de l’exécution des obligations et de l’exercice des droits propres au responsable du traitement en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit » (article 9 §2 b du RGPD), ce qui n’est pas le cas en l’espèce.
Compte tenu de ce qui précède, l’autorité de contrôle (i) a infligé à la société une amende de 120 000 €, (ii) a interdit au responsable du traitement de traiter les données biométriques de ses salariés par le biais du système de reconnaissance faciale et (iii) l’a mis en demeure de mettre ses traitements en conformité avec le RGPD.