1. Introduction
La récolte et l’utilisation de données biométriques de l’employé·e nécessitent l’installation de systèmes de reconnaissance biométrique. La mise en place de tels systèmes sur le lieu de travail soulève des questions relatives à la protection de la personnalité de l’employé·e et à la protection de ses données, protection à l’égard de laquelle l’employeur/employeuse est redevable.
L’employeur/employeuse désirant recourir à l’utilisation d’un système de reconnaissance biométrique se devra de prendre des précautions résultant tant du cadre légal actuel que de celui à venir. Il/Elle sera également avisé·e de tenir compte d’autres facteurs extralégaux, relatifs notamment à l’acceptabilité de tels systèmes par les employé·e·s.
2. Qu’est-ce qu’une donnée biométrique?
En premier lieu, il convient de s’entendre sur la définition d’une donnée dite biométrique. Le terme «biométrie», signifiant littéralement «la mesure du vivant», ne figure pas dans les textes législatifs suisses actuels. La loi sur la protection des données (LPD) et son ordonnance d’application (OLPD) ne comportent pas la notion de donnée biométrique. Elle n’apparaît pas non plus dans les lois plus spécifiques telles que l’ordonnance concernant la protection des données personnelles du personnel de la Confédération, pourtant modifiée le 1er janvier 2022, ni dans les différentes législations cantonales romandes et bernoises.
Comme le relève le Préposé fédéral à la protection des données et à la transparence (ci-après: le PFPDT), il n’existe pas de consensus définitif s’agissant des terminologies relatives aux données biométriques.
Le règlement général de l’Union européenne sur la protection des données, entré en vigueur au sein de l’Union européenne le 25 mai 2018 (ci-après: RGPD), ne liant toutefois pas la Suisse, retient que les données biométriques sont «[…] les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, qui permettent ou confirment son identification unique […]».
Une caractéristique biométrique comprend donc les caractéristiques physiques, physiologiques ou comportementales mesurables d’un individu. Le prélèvement d’une caractéristique biométrique se fera par le biais d’un système de reconnaissance biométrique qui réduira la donnée biométrique prélevée en un gabarit biométrique, soit une réduction numérisée d’une donnée biométrique brute permettant ainsi la vérification ou l’identification d’un individu sur la base de ses caractéristiques biométriques.
Afin de permettre une identification ou une vérification fiable d’un individu à l’aide d’un système de reconnaissance biométrique, la caractéristique biométrique prélevée devra se trouver chez chaque personne (principe d’universalité) sans qu’elle ne change avec le temps (principe de permanence), tout en étant différente d’un individu à l’autre (principe de distinctivité) et pouvant être collectée numériquement (principe d’accessibilité).
En conformité avec ces critères, les principales caractéristiques biométriques utilisées actuellement sont les traits du visage, le contour de la main, les empreintes digitales, le réseau veineux oculaire ou les anneaux colorés de l’iris, la géométrie du réseau veineux de la main, la signature autographe, l’empreinte vocale, la démarche ou encore la dactylographie, soit le rythme de frappe sur un clavier d’ordinateur.
Le prélèvement et le traitement de telles données se font par le biais de divers systèmes. Les mécanismes les plus répandus sont notamment le prélèvement des empreintes digitales par simple pression d’un doigt sur un support tactile ou la reconnaissance faciale par capture photographique ou vidéo. D’autres outils permettent de scanner l’œil ou la main ou de capter le son de la voix d’une personne.
L’utilisation par un·e employeur/employeuse de données biométriques d’un·e employé·e par le biais de l’installation et l’usage d’un système de reconnaissance biométrique implique un traitement de données personnelles soumis aux limitations légales prévues notamment par le code des obligations et la LPD, dont il convient de rappeler les grands principes, afin d’apprécier les obligations et les risques encourus par l’employeur/employeuse usant d’un système de reconnaissance biométrique.
3. La législation de droit du travail relative au traitement des données de l’employé·e
L’article 328b du code des obligations (CO) portant sur le traitement de données personnelles du travailleur/de la travailleuse est une composante spécifique de l’obligation faite à l’employeur/employeuse de respecter la personnalité de ses employé·e·s.
L’article 328b CO a été adopté le 1er juillet 1993, à la suite de l’entrée en vigueur de la LPD. Cette disposition limite le traitement par l’employeur/employeuse des données personnelles d’un·e employé·e, en ce sens que seul est autorisé le traitement de données personnelles portant sur les aptitudes du travailleur/de la travailleuse à remplir son emploi ou qui sont nécessaires à l’exécution du contrat de travail.
L’article 328b CO est de nature relativement impérative, de sorte qu’il ne peut y être dérogé au détriment de l’employé·e, tout accord entre l’employeur/employeuse et l’employé·e à cet égard étant nul.
La portée de l’article 328b CO par rapport à la LPD fait l’objet d’une controverse doctrinale. Pour certain·e·s, l’article 328b CO n’a pas de véritable portée pratique dès lors qu’il reprend simplement les principes de finalité et de proportionnalité déjà consacrés par la LPD. D’autres considèrent que l’article 328b CO est une lex specialis de la LPD. À notre sens, il convient d’attribuer une portée propre à l’article 328b CO permettant ainsi d’admettre une responsabilité contractuelle de l’employeur/employeuse en cas de violation dudit article, là où la LPD ne prévoit qu’une responsabilité délictuelle en cas de contravention à ses dispositions.
Concernant la législation de droit du travail spécifique au traitement de données personnelles, il s’agit encore de mentionner l’article 26 de l’ordonnance 3 relative à la loi sur le travail qui interdit à l’employeur/employeuse d’utiliser des systèmes de surveillance ou de contrôle destinés à surveiller le comportement des travailleurs et travailleuses à leur poste de travail. Si l’employeur/employeuse installe des caméras de surveillance à des fins, par exemple, de protection contre des dommages à la propriété, le système de surveillance devra être conçu et disposé de manière à ne pas porter atteinte à la santé et à la liberté de mouvement du travailleur et de la travailleuse.
4. La législation relative à la protection des données
Outre les prescriptions générales applicables au traitement de données personnelles, la LPD contient des dispositions spécifiques pour le traitement de données dites sensibles, selon la définition qui en est faite à l’article 3 lettre c LPD. Les données personnelles sensibles au sens de la LPD actuelle sont notamment celles relatives à la santé, la sphère intime ou l’appartenance à une race.
Comme déjà évoqué ci-dessus, la LPD dans sa version en vigueur ne traite pas spécifiquement des données biométriques, ne permettant ainsi pas d’assimiler clairement ce type de données à des données dites sensibles. Cela étant, certaines données biométriques peuvent fournir des informations sensibles au sens de l’article 3 lettre c LPD. Par exemple, la numérisation de l’iris ou de la rétine peut révéler certaines maladies comme l’alcoolisme. La biométrie du visage, les empreintes digitales, la géométrie du dos de la main renseignement facilement sur «l’appartenance à une race» au sens de l’article 3 lettre c chiffre 2 LPD.
L’entrée en vigueur du nouveau droit de la protection des données, prévu vraisemblablement pour le 1er septembre 2023, dissipera tout doute à cet égard, dès lors que les données biométriques seront expressément considérées comme des données sensibles, permettant ainsi des précautions spécifiques quant à leur traitement.
Dans l’attente de l’entrée en vigueur de la LPD révisée, l’employeur/employeuse usant de systèmes de reconnaissance biométrique aura la prudence de considérer les informations biométriques récoltées comme des données sensibles au sens de la LPD actuelle. Cette précaution l’obligera notamment à renseigner dûment l’employé·e de l’existence de la collecte de ses données biométriques et de l’informer du but d’une telle collecte. L’employeur/employeuse veillera à ne pas s’écarter du but annoncé de la collecte. Il/elle prendra également toutes les mesures techniques et organisationnelles nécessaires pour protéger les données de tout traitement non autorisé. Dans le cas de traitement de données biométriques, ces mesures impliqueront notamment une protection accrue contre les piratages informatiques. De plus, l’employeur/employeuse doit garantir à l’employé·e un droit d’accès effectif à ses données et l’informer des moyens d’exercer ce droit. La LPD limite en outre la possibilité pour l’employeur/employeuse de confier le traitement de données à un tiers. Ces limitations peuvent s’avérer problématiques dans le cas du traitement de données biométriques dès lors que le fonctionnement d’un système de reconnaissance biométrique – et, le cas échéant, le traitement des données biométriques récoltées – dépend souvent de l’intervention d’une entreprise tierce qui fournit la technologie.
La violation des principes généraux de la LPD constitue une atteinte à la personnalité de l’employé·e au sens de l’article 12 LPD. L’atteinte ne sera toutefois pas nécessairement réputée illicite s’il existe un motif justificatif tel que le consentement de la personne concernée ou un intérêt privé prépondérant. Or, au vu de la nature particulière du contrat de travail impliquant un rapport de force en faveur de l’employeur/employeuse, le consentement de l’employé·e à une atteinte à sa personnalité aura une portée pour le moins réduite.
Pour justifier d’une atteinte à la personnalité de son employé·e, l’employeur/employeuse devra donc faire valoir un intérêt privé prépondérant. Le Tribunal fédéral a admis que le traitement de données personnelles de l’employé·e, dans les limites de l’article 328b CO, bénéficie de la présomption qu’il ne porte pas atteinte à la personnalité du travailleur ou de la travailleuse. Cela étant, les mécanismes mis en place par l’employeur/employeuse pour récolter et traiter les données personnelles de ses employé·e·s doivent néanmoins être conformes aux principes généraux de la LPD, notamment quant au respect du principe de proportionnalité.
5. Précautions à prendre par l’employeur/employeuse pour le traitement de données biométriques
En respect de la stricte application du principe de proportionnalité consacré à l’article 4 alinéa 2 LPD et repris à l’article 328b CO, l’employeur/employeuse désireux/désireuse de recourir à l’utilisation d’un système de reconnaissance biométrique devra d’abord s’interroger sur l’existence d’autres moyens moins intrusifs, ne nécessitant pas l’utilisation de données biométriques, pour atteindre le but visé. Par exemple, il existe des outils non biométriques permettant la saisie du temps de travail ou régulant l’accès aux locaux.
Si l’employeur/employeuse peut justifier de la pertinence et de la légalité d’un recours à un système de reconnaissance biométrique, il/elle privilégiera des technologies n’impliquant pas de stockage centralisé de données biométriques, tels des systèmes permettant un stockage de la donnée biométrique sur une carte personnelle détenue uniquement par la personne concernée et ne permettant pas l’enregistrement des données biométriques lors de leur utilisation. L’employeur/employeuse est tenu·e de prendre toutes les mesures nécessaires pour sécuriser les données biométriques contre une utilisation non prévue et non autorisée.
L’employeur/employeuse favorisera également l’utilisation de données biométriques ne laissant pas ou peu de traces, afin de diminuer les risques de capture de la donnée à l’insu des personnes concernées, et donc de falsification. À titre illustratif, l’empreinte digitale est une donnée biométrique laissant des traces facilement récupérables et falsifiables, là où le réseau veineux, la capture de l’iris ou de la rétine n’en laissent aucune.
Outre les obligations légales relatives à la protection de la personnalité et à la sécurité, l’employeur/employeuse sera attentif/attentive à sélectionner un mécanisme de reconnaissance biométrique acceptable pour les employé·e·s. Le relevé d’empreintes digitales, malgré les risques de falsification qu’il présente, est maintenant très couramment utilisé dans notre quotidien, entre autres pour sécuriser l’accès à son smartphone ou à son ordinateur portable privé. De fait, l’employé·e sera vraisemblablement davantage disposé·e à adopter, dans son cadre professionnel, un système de reconnaissance biométrique avec lequel il/elle est déjà familier/familière. Il/Elle émettra probablement plus de réticences à se soumettre à un système jugé invasif, nécessitant par exemple que ses yeux soient scannés.
Au vu de l’ensemble des considérations évoquées, l’employeur/employeuse sera bien avisé·e de faire preuve de retenue quant à l’utilisation d’un système de reconnaissance biométrique. En cas d’utilisation d’un tel mécanisme, il/elle s’assurera que la technologie choisie répond aux exigences légales en matière de traitement des données et de protection contre une utilisation indue de celles-ci. Il/Elle prendra soin non seulement d’informer les employé·e·s de leurs droits en matière d’accès à leurs données personnelles, mais s’assurera également que le système mis en place et sa finalité bénéficient d’un degré d’acceptabilité élevé auprès des travailleurs et travailleuses directement concerné·e·s par le prélèvement de leurs données physiques et comportementales. ❙
1 Loi fédérale sur la protection des données du 19 juin 1992 (LPD; RS 235.1).
2 Ordonnance relative à la loi fédérale sur la protection des données du 14 juin 1993 (OLPD; RS 235.11).
3 Ordonnance concernant la protection des données personnelles du personnel de la Confédération du 22 novembre 2017 (OPDC; RS 172.220.111.4).
4 Préposé fédéral à la protection des données et à la transparence, Guide relatif aux systèmes de reconnaissance biométrique, Version 1.0, septembre 2009, p. 4, disponible sur www.edoeb.admin.ch, consulté le 18 avril 2022.
5 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données), Journal officiel de l’Union européenne, 4.5.2016, L 119/1.
6 GPD, article 4, chiffre 14.
7 FPDT, Guide relatif aux systèmes de reconnaissance biométrique, op. cit., p. 5.
8 FPDT, Guide relatif aux systèmes de reconnaissance biométrique, op. cit., p. 6.
9 Loi fédérale complétant le Code civil suisse du 30 mars 1911 (CO; RS 220).
10 Article 328 CO.
11 Article 362 CO.
12 Cf. Philippe Meier, Protection des données: Fondements, principes généraux et droit privé, Précis de droit Stämpfli, Berne 2011, p. 650; Sylvain Métille, «Après la fin des rapports de travail, peut-on encore traiter des données personnelles», in La fin des rapports de travail, CERT Nr 16, Schulthess Éditions romandes, 2021, pp. 111-112.
13 Cette approche semble être confirmée en partie par le Tribunal fédéral dans l’arrêt 4A_588/2018 du 27 juin 2019 c. 4.3, cf. à cet égard Sylvain Métille, «Après la fin des rapports de travail», op. cit., p. 112.
14 Ordonnance 3 relative à la loi sur le travail du 18 août 1993 (OLT 3; RS 822.113).
15 Article 3 lettre c chiffre 2 LPD. La révision de la LPD considérera comme sensibles les données sur «la santé, la sphère intime ou sur l’origine raciale ou ethnique» en lieu et place de la formulation actuelle.
16 PFPDT, Tour d’horizon des technologies biométriques, Projet CCT – PFPDT – juin 2012, disponible sur edoeb.admin.ch, consulté le 18 avril 2022.
17 Selon les informations disponibles sur ejpd.admin.ch/bj/fr/home/staat/gesetzgebung/datenschutzstaerkung.html, consulté le 18 avril 2022.
18 L’article 5 lettre c chiffre 4 du projet de la LPD révisée liste les données biométriques comme données sensibles, sans toutefois définir la notion de donnée biométrique; pour plus de précisions sur le traitement spécifique des données biométriques par le futur droit de la protection des données, cf. Message concernant la loi fédérale sur la révision totale de la loi fédérale sur la protection des données et sur la modification d’autres lois fédérales, FF 2017 6565, pp. 6594, 6640.
19 Articles 4 et 14 LPD.
20 Article 7 LPD.
21 Article 8 LPD.
22 Articles 10a et 12 LPD.
23 Articles 4 et suivants LPD.
24 Article 13 LPD.
25 ATF 130 II 425 c. 3.3.
26 L’employeur/employeuse pourra notamment se référer au Guide pour le traitement des données personnelles dans le secteur du travail, Traitement par des personnes privées, émis par le PFPDT, octobre 2014, disponible sur www.edoeb.admin.ch, consulté le 18 avril 2022.
27 PFPDT, Guide relatif aux systèmes de reconnaissance biométrique, op. cit., p. 15.
28 PFPDT, Tour d’horizon des technologies biométriques, op. cit., pp. 3 et 6.
