Des identités de papier à  l'identité biométrique

Chapitre N:L'intégrité du corps humain

p. 172

B/ LA BIOMÉTRIE DANS L'ENTREPRISE ET LA DIGNITÉ DE LA PERSONNE

Le jugement du 19 avril 2005 du Tribunal de grande instance de Paris, Comité d'entreprise d'Effia Services, Fédération des Syndicats SUD Rail c/ Société Effia Services⁴⁵¹, soulève en effet cette question, relativement non au prélèvement ADN mais à la biométrie en général. Il est toutefois intéressant pour d'autres raisons: il s'agit en effet de la seule décision judiciaire concernant l'usage de la biométrie dans le cadre du contrôle d'accès et/ou de l'entreprise. Après avoir rappelé le contexte du jugement et la décision, nous discuterons les interprétations de la doctrine qui se sont, nous semble-t-il, induites en erreur concernant un point de fait, ce qui a pu conduire certains commentateurs à tirer des conclusions erronées de ce jugement. Nous engagerons ensuite le débat concernant la question de la dignité de la personne, notamment en mettant ce jugement en perspective avec la position de l'Autorité grecque de protection des données (HDPA).

1. Analyse du jugement du TGI d'avril 2005

Le TGI de Paris a ainsi refusé un dispositif biométrique utilisant les empreintes digitales et visant au contrôle des horaires des salariés à des fins d'élaboration des fiches de paie, indiquant que l'utilisation d'un élément « qui met en cause le corps humain et porte ainsi atteinte aux libertés individuelles peut cependant se justifier lorsqu'elle a une finalité sécuritaire ou protectrice de l'activité dans des locaux identifiés. » En l'espèce, eu égard à l'article L.12o-2 du Code du travail⁴⁵², le tribunal a interdit la mise en oeuvre dudit traitement, considéré comme n'étant ni adapté ni proportionné au but recherché.

451 Jugement disponible sur http://www.juriscom.net/jpt/visu.php?ID=7oo

452 Celui-ci dispose que « nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ». Il a été abrogé par l'ordonnance n°21307-329 du 12 mars 2007 et remplacé par l'article L1121-1 (formulation identique) du Code du travail lors de la refonte de ce dernier.

Chapitre N:L'intégrité du corps humain

p. 173

Comité d'entreprises d'Effia Services, Fédération des Syndicats SUD Rail c/ Société Effia Services, TGI Paris, 19 avril 2005.

Si le tribunal a invalidé le dispositif biométrique contesté, il l'a fait sur le fondement de l'article

L. 120-2 du Code du travail. Les syndicats soutenaient que le dispositif portait atteinte aux droits et libertés individuelles des salariés, résultant des art. 120-2, 121-8 et 432-2-1. L'art. 1218⁴" disposait disposait notamment qu' « aucune information concernant personnellement un salarié ou un candidat à un emploi ne peut être collectée par un dispositif qui n'a pas été porté préalablement à la connaissance du salarié ou du candidat à un emploi. » Le tribunal a en effet considéré que ces dispositions avaient été respectées (via l'envoi d'un courrier individuel envoyé aux salariés en 2004).

Considérant que les « conditions préalables de mise en oeuvre du système [avaient] été respectées », le tribunal a toutefois déclaré:

« Cependant il ne peut être sérieusement contesté qu'une empreinte digitale, même partielle, constitue une donnée biométrique morphologique qui permet d'identifier les traits physiques spécifiques qui sont uniques et permanents pour chaque individu./ Son utilisation qui met en cause le corps humain et porte ainsi atteinte aux libertés individuelles peut cependant se justifier lorsqu'elle a une finalité sécuritaire ou protectrice de l'activité exercée dans des locaux identifiés. »

En l'espèce, le tribunal a jugé que « la seule mise en place d'un système de badge » serait suffisante eu égard aux objectifs recherchés (le contrôle efficace des horaires des salariés).

Les commentateurs ont adopté deux attitudes à l'égard de cette décision, importante en ce qu'elle constitue une première, les juges n'ayant jamais été saisis auparavant d'affaires portant sur la biométrie^454. Certains ont regretté une décision timide, voire frileuse à l'égard des « nouvelles technologies ». D'autres, au contraire, ont regretté un raisonnement conduisant à légitimer la « mise en cause du corps humain » dans certaines circonstances (« finalité sécuritaire ou protectrice de l'activité dans des locaux identifiés »). Outre ces oppositions de fond, les commentateurs ont aussi souligné, à tort il nous semble, une prétendue « ambiguïté » du jugement.

453 Désormais art.L1221-9 et L1222-4 du Code du travail.

454 A l'exception du cas particulier de la saisine du Conseil constitutionnel concernant le prélèvement ADN à des fins de vérification de la filiation des candidats au regroupement familial: décision n°2007557 DC du 15 novembre 2007 sur la loi relative à la maîtrise de l'immigration, à l'intégration et à l'asile, et en particulier sur son article 13.

Chapitre N:L'intégrité du corps humain p. 174

La Cour a en effet considéré que « l'objectif poursuivi n'est pas de nature à justifier la constitution d'une base de données d'empreintes digitales des personnes travaillant dans les espaces publics des gares de la SNCF, le traitement pris dans son ensemble n'apparaissant ni adapté ni proportionné au but recherché. » Or, le traitement mis en oeuvre par la société Effia ne semblait pas, selon certains commentateurs⁴⁵⁵, aboutir à la constitution d'une base de données centrales, les caractéristiques biométriques étant, selon eux, stockées sur des supports individuels (une puce informatique logée dans un badge numéroté, ne comportant pas le nom du salarié). Le jugement n'est pourtant pas si clair à cet égard, puisqu'il décrit ainsi le dispositif:

«La société EFFIA SERVICES, filiale de la société SNCF Participations (...) a décidé de mettre en place au sein de l'entreprise un nouveau mode de gestion et de contrôle des temps de présence sur l'ensemble des sites de travail en réseau avec un lecteur biométrique utilisant la technologie des empreintes digitales.

Le fonctionnement de ce système comporte deux phases:

l'empreinte digitale du salarié est mémorisée sur une carte à puce, correspondant à un numéro de badge dont la lecture est assurée par une badgeuse à la prise et à la fm du service;

ce premier contrôle est validé en même temps par l'application du doigt sur un lecteur. »456

De cette description concise du dispositif, il est évident qu'il inclut un badge comportant les gabarits biométriques des empreintes digitales. Mais la référence, à deux reprises, à l'existence d'un « lecteur biométrique », qui vient redoubler le contrôle de vérification effectué à l'aide du badge, via l' « application du doigt sur un lecteur », permet d'inférer l'existence probable d'un système central. Le dispositif en question aurait donc stocké les données à la fois sur un badge individuel, numéroté, et dans une base centrale (le lecteur biométrique). La même ambiguïté est présente dans le commentaire de D. Touchent, qui note bien l'existence du lecteur, tout en

455 M.-L. Laffaire et T. Elm, « Biométrie, la première décision d'une longue série », Expertises, août-septembre 2005, p.299 sq. (en part. p.302), cité par Agathe Lepage, « La biométrie refoulée de l'entreprise », Corn. Corn. Elec. N°10, octobre 2005, comm. 164.

456 Nous soulignons.

Chapitre N:L'intégrité du corps humain

p. 175

considérant qu'il s'agit d'un système sur support individuel. Il en conclut, à tort estimons-nous, que le jugement contredit les exigences de la CNIL 457.

On peut inférer de ces commentaires soit que la doctrine a présumé que le stockage sur un « lecteur biométrique » s'identifiait au stockage sur badge (ce que le jugement réfute explicitement), et ne constituait de toute façon pas un stockage sur système central. Or, le guide de la CNIL de 2007 sur l'usage des empreintes digitales inclut explicitement le stockage sur lecteur comme forme de stockage sur support centra1458. Soit « la doctrine » - les deux explications pouvant se combiner -- a tout simplement omis l'existence du lecteur biométrique sur lequel les empreintes digitales étaient aussi stockées. La formulation du jugement, qui insiste sur le système du badgeage, l'a ainsi induit en erreur, puisqu'il résulte clairement de la lettre envoyée aux employés que les empreintes digitales étaient stockées à la fois sur les badges individuels et sur le lecteur individuel :

« le courrier individuel adressé aux salariés le 25 novembre 2004 qui présente le

nouveau mode de gestion et contrôle des temps de présence par badgeage (...) précise que

« l'empreinte partielle est stockée uniquement dans la mémoire du lecteur. »459

La société Effia utilisait donc simultanément un système stockant les données sur support individuel (badge) et dans une base de données centrales (lecteur biométrique), contrairement à ce que semble avoir inféré la doctrine. Du reste, seule cette interprétation de la description du dispositif en cause permet de comprendre l'allusion des juges, par la suite, à la « constitution d'une base de données d'empreintes digitales ».

457 L_a CNIL, dit-il, « estime que si l'empreinte digitale est stockée uniquement dans un support personnel comme la carte à puce, le dispositif ne pose pas de difficultés au regard de la loi

« informatique et libertés ». / La société EFFIA semble répondre aux exigences de la CNIL puisque l'empreinte partielle ainsi relevée est stockée uniquement dans la mémoire du lecteur. » (Dahmène Touchent, « La mise en oeuvre d'un système de badgeage par empreintes digitales dans l'entreprise », La Semaine juridique, Entreprise et Affaires n°37, 15 septembre 21305, 1337).

458 « C'est pourquoi (...) la Commission estime nécessaire de rappeler et de préciser les principaux critères sur lesquels elle se fonde pour examiner les demandes d'autorisation des dispositifs biométriques reposant sur la reconnaissance des empreintes digitales avec un stockage sur un terminal de lecture-comparaison ou sur un serveur. » (« Communication de la CNIL relative à la mise en oeuvre de dispositifs de reconnaissance par empreinte digitale avec stockage dans une base de données », 28 décembre 2007 -- les italiques sont les nôtres).

459 Nous soulignons.

Chapitre N:L'intégrité du corps humain

p. 176

Dès lors, ce jugement ne permet pas d'inférer qu'un tribunal condamnerait probablement une entreprise mettant en place un dispositif à finalité semblable mais ne comportant pas de stockage central. Les seuls éléments pouvant guider la doctrine à cet égard résident dans les délibérations de la CNIL, qui limite explicitement l'usage de dispositifs fonctionnant à l'aide d'empreintes digitales (quel qu'en soit le support) à des finalités de contrôle d'accès. Néanmoins, nous avons vu que la CNIL avait pu autoriser des dispositifs stockant les empreintes digitales sur support individuel à des fins mixtes de contrôle d'accès et de contrôle des horaires⁴⁶o

Sur le fond du jugement, les commentateurs se sont plus ou moins divisés en deux camps, les « pros » et les « anti ». Ceux-là ont relevé d'une part que, dans cette décision, le TGI fait incomber la charge de la preuve à l'entreprise: c'est elle qui doit montrer que le dispositif est adéquat et proportionné⁴⁶¹ Interprétation qui repose sur la phrase « il n'est pas prétendu par la société Effia Services que la seule mise en place d'un système de badge ne serait pas de nature à permettre de contrôler efficacement les horaires des salariés sans avoir recours à un procédé d'identification comportant des dangers d'atteintes aux libertés individuelles dont la nécessité n'est pas démontrée. » En d'autres termes, l'entreprise devrait démontrer que les autres dispositifs sont insuffisants; la validité de cette démonstration dépend bien entendu d'une perception préalable du risque, perception sujette à évoluer en fonction de la conjoncture sociale et politique.

Rappelant les réserves de la CNIL à l'égard des dispositifs fonctionnant à l'aide d'empreintes digitales, en particulier sur support central, tout en soulignant ses autorisations lorsqu'il s'agit de répondre à des finalités sécuritaires, A. Lepage conclut ainsi par une exhortation à l'égard des juges: « Espérons que la jurisprudence saura à son tour envisager les systèmes biométriques par reconnaissance des empreintes digitales avec suffisamment de souplesse et de nuances afin de ne pas entraver de façon excessive le développement de pratiques qui, maniées avec la prudence qui s'impose, peuvent se révéler d'une grande utilité. »⁴⁶² Etant donné le contexte de la décision commentée et le contenu du commentaire, on peut interpréter cela comme

⁴⁶o Délib. n⁰2006-069 du 16 mars 2006 (Brisach SAS ; empreintes digitales ; contrôle des horaires et le contrôle de l'accès aux locaux)

461 Lepage, Agathe (2005), « La biométrie refoulée de l'entreprise », Corn. Corn. Elec. N°1o, octobre 2005, comm. 164.

462 Ibid.

Chapitre N:L'intégrité du corps humain

p. 177

un appel discret à l'autorisation de dispositifs biométriques utilisant les empreintes digitales sur support individuel dans des contextes autres que le simple contrôle d'accès à finalité sécuritaire. Bref, une partie de la doctrine se montre sans aucun doute critique à l'égard de la CNIL, considérée comme trop frileuse à l'égard des « nouvelles technologies »⁴⁶³.