Contrairement à certaines interprétations, «les données biométriques ne sont pas juridiquement classées comme des données sensibles».
L’utilisation de l’empreinte biométrique pour contrôler la présence des salariés ne nécessite pas de consentement préalable explicite. C’est la principale clarification apportée par la circulaire n°03 du 6 mai 2026 de l’Autorité nationale de protection des données à caractère personnel (ANPDP), qui vient encadrer une pratique de plus en plus répandue dans les administrations et entreprises.
Cette prise de position intervient après une série de demandes d’éclaircissement adressées à l’Autorité, dans un contexte marqué par l’extension des dispositifs de pointage biométrique dans les lieux de travail. L’institution a ainsi procédé à une analyse juridique et technique au regard des dispositions de la loi 18-07 relative à la protection des données personnelles, afin de trancher la question sensible du consentement des employés.
Contrairement à certaines interprétations, «les données biométriques ne sont pas juridiquement classées comme des données sensibles». Elles restent, toutefois, des données à caractère personnel, soumises aux principes fondamentaux encadrant leur traitement, notamment la finalité, la proportionnalité, la sécurité et la durée de conservation.
Le consentement écarté
Sur la question du consentement, la circulaire rappelle que celui-ci constitue en principe une condition de licéité du traitement. Toutefois, elle souligne également l’existence d’exceptions prévues par la loi, notamment lorsque le traitement est nécessaire au respect d’une obligation légale ou à l’exercice d’une mission d’intérêt public. Dans ce cadre, l’enregistrement de la présence par empreinte biométrique est considéré comme relevant de la gestion normale des ressources humaines, visant à assurer la discipline et la ponctualité au sein des structures.
L’Autorité estime ainsi que le recours à cette technologie s’inscrit dans un objectif organisationnel légitime, permettant une gestion automatisée et précise des horaires de travail. Les systèmes biométriques offrent, en effet, la possibilité de générer des données fiables sur les retards, les absences, les congés ou encore les heures supplémentaires, facilitant la prise de décision et le pilotage administratif.
Des obligations strictes pour les employeurs
Pour autant, cette absence d’exigence de consentement ne signifie pas une liberté totale. La circulaire impose plusieurs obligations strictes aux responsables du traitement. Ces derniers doivent notamment déclarer leurs dispositifs auprès de l’Autorité, informer clairement les employés des modalités de collecte et d’utilisation des données, ainsi que garantir l’exercice de leurs droits, tels que l’accès, la rectification ou l’opposition.
La question de la sécurité des données est également centrale. Les entreprises sont tenues de mettre en place des mesures techniques et organisationnelles adaptées afin de prévenir tout risque de fuite, d’accès non autorisé ou de détournement des données biométriques, dont le caractère unique renforce les enjeux de protection.
Une durée de conservation encadrée
La durée de conservation constitue un autre point d’encadrement. Les données collectées ne peuvent être conservées au-delà de la relation de travail et doivent être détruites dès la fin du contrat liant l’employé à l’organisme concerné.
Enfin, la circulaire rappelle que l’ensemble des traitements de données biométriques reste soumis au contrôle de l’Autorité nationale. Celle-ci se réserve le droit d’effectuer des audits et des vérifications afin de s’assurer du respect des dispositions légales et réglementaires en vigueur.
À travers cette clarification, l’Autorité entend concilier les exigences de modernisation des pratiques administratives et de transformation numérique avec la protection des droits fondamentaux des personnes. Elle pose ainsi un cadre qui, tout en légitimant l’usage des technologies biométriques dans le monde du travail, en fixe les limites et les garanties essentielles.
Assia Mekhennef