Formule les observations suivantes :
Les données biométriques ont la particularité d'être uniques et permanentes, car elles permettent d'identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales (exemple : empreinte digitale, contour de la main). Elles ne sont pas attribuées par un tiers ou choisies par la personne. Elles sont produites par le corps lui-même et le désigne de façon définitive. Elles permettent de ce fait le « traçage » des individus et leur identification certaine.
Le caractère sensible de ces données justifie que la loi prévoie un contrôle spécifique de la CNIL, fondé essentiellement sur la proportionnalité du dispositif au regard de la finalité recherchée, telle que la gestion des horaires.
Le 27 avril 2006, la commission a adopté une autorisation unique de mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du contour de la main et ayant pour finalités le contrôle d'accès ainsi que la gestion des horaires et de la restauration sur les lieux de travail (AU n° 7).
La commission a, depuis, été saisie de demandes d'autorisation concernant d'autres biométries telles que l'empreinte digitale ou le réseau veineux des doigts de la main dont la finalité était également la gestion des horaires des salariés.
Constatant que, depuis 2006, les techniques de contrôle des salariés sur leurs lieux de travail se sont développées et sophistiquées (géolocalisation, cybersurveillance, biométrie), il lui a semblé primordial de recueillir l'avis d'organisations syndicales et patronales, de la direction générale du travail ainsi que de certains professionnels du secteur.
Un consensus s'est clairement exprimé considérant l'utilisation de la biométrie aux fins de contrôle des horaires comme un moyen disproportionné d'atteindre cette finalité. La raison principale avancée est le risque accru de détérioration du climat social, allant à l'encontre de la relation de confiance employeur-salarié. Les organisations auditionnées ont souligné que, lorsque le contrôle des horaires par pointeuse est nécessaire, les outils de gestion des horaires sans biométrie (exemple : pointeuse à badge) apparaissent comme suffisants.
Dès lors, même si le contour de la main est une biométrie dite « sans trace », son recours implique d'utiliser une partie de son corps, ce qui en soi est disproportionné au regard de la finalité de gestion des horaires.
La commission estime qu'il n'en est pas de même en ce qui concerne les contrôles d'accès aux locaux ainsi qu'au restaurant d'entreprise ou administratif reposant sur un dispositif de reconnaissance du contour de la main, notamment pour des raisons de sécurité et au regard des risques plus limités pour la vie privée des personnes.
La commission a donc décidé de modifier l'AU n° 7 en ce qu'elle autorisait l'utilisation du contour de la main aux fins de gestion des horaires.
Il y a lieu, en l'état des connaissances sur la technologie utilisée, de faire application des dispositions de l'article 25-1 (8°) qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l'identité des personnes et de l'article 25-II aux termes duquel les traitements qui répondent à une même finalité portent sur des catégories de données identiques et les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la commission.
Le responsable de traitement mettant en œuvre un dispositif reposant sur la reconnaissance du contour de la main dans le respect des dispositions de cette décision unique adresse à la commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation.
Décide que les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.