Actualités

🇪🇸 Pas de système de reconnaissance faciale pour le contrôle du temps de travail !

Biométrie & Vidéosurveillance | 26/03/2025

L’AEPD sanctionne Cartonajes Bañeres S.A. pour des violations du RGPD 🇪🇸
Source : PS 00361-2023

L’Agence espagnole de protection des données (AEPD) a infligé une amende de 220 000 € à Cartonajes Bañeres S.A., une entreprise spécialisée dans la fabrication d’emballages en carton, pour des violations graves du RGPD liées à l’utilisation d'un système de reconnaissance faciale pour gérer les horaires de travail de ses employés.

🔍 Faits :

• Utilisation de données biométriques (2016–2023) :
L’entreprise a imposé à ses salariés un système de reconnaissance faciale pour enregistrer les heures d’arrivée et de départ, sans alternative possible (badge, carte...).

• Droit d’accès exercé :
Un ancien salarié ayant quitté l’entreprise en septembre 2022 a demandé l’accès à ses données personnelles.
→ Violation constatée : Réponse partielle et tardive, en infraction avec les articles 12 et 15 du RGPD.

⚖️ Principales violations constatées :

1️⃣ Absence d’analyse d’impact relative à la protection des données (AIPD) :
• Le traitement biométrique constitue un traitement à haut risque qui exige une AIPD (article 35 du RGPD).
• Aucune documentation n’a été fournie pour prouver qu’une telle analyse a été réalisée.

2️⃣ Manquement à l’obligation de transparence et au droit d’accès :
• L’entreprise n’a pas répondu de manière complète et dans les délais à la demande du salarié.

3️⃣ Imposition d’un système biométrique sans alternatives :
• L’absence d’alternative rendait le consentement invalide, car les employés n’étaient pas libres de leur choix.

🧷 Défense de l’entreprise :

Cartonajes Bañeres a indiqué que les données faciales étaient chiffrées par un algothime de hashage et qu’aucune image n’était conservée.
→ L’AEPD a jugé que cette mesure était insuffisante pour garantir la conformité et réduire les risques liés à ce type de traitement.

💸 Sanctions de l’AEPD :

• 200 000 € : Pour absence d’analyse d’impact (AIPD)
• 20 000 € : Pour gestion inappropriée du droit d’accès

🛠️ Mesures correctrices :

• En mai 2023, suite au rachat de l’entreprise, le système de reconnaissance faciale a été remplacé par un système à badge.
• L’AEPD rappelle la nécessité de respecter le RGPD pour tout traitement de données biométriques.

Retour vers la liste des actualités

Découvrez toutes nos expertises :

Gouvernance et Stratégie Qualité des données MDM / PIM Conformité