Légal & Conformité

Questions juridiques concernant les photos sur les badges des employés

Suivez-nous sur LinkedIn LinkedIn
A première vue, la prise de photos des collaborateurs semble être un processus purement organisationnel. Mais dans la pratique, la prise de photos soulève régulièrement des questions juridiques complexes : L'employeur a-t-il le droit de demander une photo ? Faut-il un consentement ? Combien de temps la photo peut-elle être conservée ? Cet article offre un aperçu pour les départements RH, Corporate Security et Compliance et montre comment des solutions modernes comme Photo Collect aident à répondre de manière fiable aux exigences du GDPR .

Remarque : cet article se réfère au GDPR avec application dans l'UE.

Une entreprise peut-elle exiger une photo pour la carte d'identité de ses employés ?

Oui. Pour tout ce qui est nécessaire à l'exécution de la relation de travail ou à la garantie de la sécurité, il n'y a pas besoin de consentement selon le GDPR. Une photo sur la carte d'identité est autorisée par la loi sur la protection des données si elle est nécessaire, par exemple pour la sécurité et l'identification dans l'entreprise.

La base juridique se fonde sur :

  • Article 6, paragraphe 1, point f), GDPR: "intérêt légitime" - par exemple, sécurité, contrôle d'accès, prévention de la fraude
  • Eventuellement art. 6, al. 1, let. b GDPR: "exécution du contrat" - par ex. identification dans le cadre d'une relation d'emploi

Faut-il un consentement pour la collecte de la photo ?

Non. Aucun consentement n'est nécessaire pour une photo sur le badge d'un collaborateur, la base juridique étant l'intérêt légitime ou l'exécution du contrat. Dans ce cas, le consentement serait superflu et même dangereux, car le collaborateur pourrait théoriquement le révoquer et le processus deviendrait juridiquement instable. Le consentement ne serait pas vraiment volontaire dans le cadre de la relation de travail, mais le GDPR exige qu'un consentement soit donné volontairement.

En revanche, pour les utilisations supplémentaires telles que la photo de profil sur Internet, l'image Microsoft Teams, pour le site web ou le matériel de marketing, un consentement explicite et volontaire, documenté séparément, est nécessaire. Il est préférable que les collaborateurs puissent télécharger eux-mêmes la photo sur ces canaux. Photo Collect peut envoyer par e-mail une copie à chaque collaborateur pour son propre usage.

Faut-il un consentement pour le traitement avec Photo Collect?

Non. L'utilisation de Photo Collect ne modifie pas la base juridique du consentement (voir ci-dessus).

Faut-il proposer un traitement alternatif sans Photo Collect ?

Non. Si Photo Collect est le prestataire de services et le sous-traitant choisi, l'entreprise peut centraliser l'ensemble du processus photo via Photo Collect .

Ni l'article 6 (base juridique), ni l'article 13 (obligation d'information), ni l'article 28 (traitement des commandes) n'exigent que les employés puissent choisir comment leurs données seront traitées ou quel système sera utilisé à cet effet.

Tant que le traitement est effectué de manière licite, dans un but précis, dans le respect de la vie privée et de manière transparente, il n'existe aucune obligation juridique de fournir d'autres logiciels ou moyens de traitement.

Comment les employés doivent-ils être informés du traitement des données ?

L'article 13 GDPR régit les obligations d'information qu'une entreprise a envers les collaborateurs dès que des données à caractère personnel sont traitées - donc également lorsque le consentement n'est pas nécessaire. Cela signifie que même si la photo est traitée pour la carte d'employé sur la base de l'intérêt légitime ou de l'exécution d'un contrat, l'employeur doit informer les employés de manière transparente sur ce qui est fait avec la photo.

A titre d'exemple :

Dans le cadre de votre relation de travail, nous avons besoin d'une photo de vous afin de créer une carte d'employé personnalisée et de permettre le contrôle d'accès dans l'entreprise. La base juridique pour cela est l'article 6, paragraphe 1, point b) GDPR (exécution de la relation de travail) ainsi que l'article 6, paragraphe 1, point f) GDPR (intérêt légitime à la sécurité d'accès).

La saisie et le traitement de votre photo s'effectuent via le logiciel "Photo Collect", exploité par Visible Solutions AG, Zurich. Photo Collect traite les données exclusivement sur nos instructions documentées et dans le seul but de prendre votre photo, de l'examiner et de la traiter techniquement. Les données sont stockées dans un centre de données certifié ISO-27001 en Suisse, traitées de manière pseudonymisée et automatiquement effacées après une exportation réussie. Les métadonnées sont supprimées au plus tard après 90 jours. D'autres mesures techniques et organisationnelles ainsi que des sous-processeurs sont documentés dans notre contrat de traitement des commandes.

Vous avez le droit d'accéder à vos données, de les rectifier et de les supprimer, dans la mesure où elles ne sont pas encore nécessaires à l'établissement ou à l'utilisation du badge de collaborateur. Vous trouverez de plus amples informations dans notre déclaration générale de protection des données pour les collaborateurs.

Les employés doivent-ils utiliser leur smartphone personnel ?

L'obligation d'utiliser des terminaux privés (BYOD) est problématique du point de vue du droit du travail, du moins en Allemagne et en Suisse (dans d'autres pays, le droit du travail peut différer). L'employeur ne peut pas exiger d'un employé qu'il utilise son appareil privé à des fins professionnelles (en Allemagne selon le § 106 GewO, en Suisse selon l'art. 327, al. 1, CO). C'est pourquoi une alternative doit être disponible. Les alternatives typiques sont le kiosque photo à la réception ou la saisie de photos via une application dans le bureau des cartes.

Photo Collect propose, outre le téléchargement par smartphone (BYOD ou smartphone d'entreprise), d'autres canaux utilisables en parallèle, de sorte qu'il n'y a pas d'obligation de BYOD :

  • Kiosque photo en libre-service sur le site
  • Application Photo Collect pour les collaborateurs RH, la réception, le bureau des cartes
  • Intégration API dans l'intranet ou les portails des collaborateurs
  • Commande directe de la webcam

Vous remplissez ainsi l'obligation qui vous est faite par le droit du travail de proposer une alternative raisonnable.

Combien de temps les photos peuvent-elles être conservées ?

Le GDPR s'applique aux photos : aussi brièvement que possible, aussi longtemps que nécessaire. Il s'agit ici de distinguer d'une part le côté de Photo Collect en tant que processeur de données et le côté de l'entreprise en tant que contrôleur de données :

Photo Collect n'est délibérément pas un lieu de stockage à long terme, mais un outil de traitement : Après le traitement, les photos sont transférées rapidement dans le système du client. Photo Collect respecte les délais documentés dans le contrat de traitement des commandes - par exemple la suppression immédiate des photos après une exportation réussie ainsi que la suppression automatique des métadonnées après 90 jours (ou configurée selon les besoins du client).

Le client, en tant que responsable (contrôleur de données), fixe les délais de suppression internes à l'entreprise. Certaines entreprises ne stockent pas les photos des collaborateurs de manière permanente, mais les suppriment directement après l'impression des cartes. Dans ce cas, c'est le client qui est responsable. Les photos doivent être effacées au plus tard lorsque les collaborateurs quittent l'entreprise.

Les photos sont-elles des données biométriques au sens de l'article 9 GDPR?

La question de savoir si les photos prises dans le cadre de Photo Collect sont considérées comme des données biométriques suscite souvent des incertitudes. Certes, il est vrai qu'une personne est en principe identifiable sur une photo. Toutefois, ce caractère identifiable ne suffit pas à faire d'une photo une donnée biométrique au sens de l'article 9 GDPR. Ce qui est déterminant, c'est de savoir si l'image est traitée de manière à identifier ou authentifier une personne de manière univoque sur la base de ses caractéristiques biométriques. C'est précisément là qu'intervient la distinction juridique : Une photo de portrait normale, qui est simplement enregistrée ou traitée techniquement, ne tombe pas automatiquement sous le coup des règles plus strictes applicables aux données biométriques.

Dans Photo Collect , le visage n'est donc pas utilisé pour l'identification ou la comparaison avec d'autres bases de données. Le logiciel effectue uniquement des analyses fonctionnelles afin de préparer techniquement la photo pour l'usage prévu, par exemple pour centrer la personne au sein de l'image, vérifier la qualité ou supprimer l'arrière-plan. Ces étapes de traitement servent uniquement à optimiser l'image et non à établir ou à vérifier l'identité d'une personne. La comparaison visant à déterminer s'il s'agit du bon collaborateur se fait en dehors du système et incombe à l'entreprise.

Cela vaut également lorsque les adresses électroniques fournies avec les ensembles de données permettent typiquement de tirer des conclusions sur les noms en clair. Le traitement de photos avec Photo Collect reste un traitement normal de données à caractère personnel, mais pas un traitement de données biométriques au sens de l'article 9 GDPR.

Quelles sont les méthodes d'IA autorisées pour le traitement des photos ?

Le traitement par IA consiste à déterminer quelles méthodes d'IA sont utilisées : La personne sur l'image est-elle générée de manière synthétique (GenAI), identifiée de manière biométrique ou l'IA sert-elle uniquement à analyser le port de la tête, à supprimer l'arrière-plan et à centrer le visage ? Cette distinction est cruciale, car les exigences en matière de protection des données varient en fonction de la méthode utilisée. Et selon les procédures GenAI, l'image ne devrait plus être utilisée pour des domaines liés à la sécurité comme les cartes d'identité des employés.

Pour savoir quelles améliorations basées sur l'IA sont autorisées, où se situent les limites et comment les entreprises classent correctement les exigences légales, lisez l'article Améliorations d'images par l'IA - qu'est-ce qui est autorisé ?

Peut-on utiliser des noms en clair pour s'adresser à une personne ?

Un principe central du GDPR est la minimisation des données : les entreprises ne doivent collecter et traiter que les données strictement nécessaires à la finalité poursuivie. Pour la saisie et la préparation d'une photo - que ce soit pour un badge d'employé ou pour des processus d'identification liés à la sécurité - le nom en clair de la personne concernée n'est toutefois pas nécessaire. Photo Collect suit ce principe de manière conséquente et renonce donc délibérément à importer des noms dans le système ou à les utiliser dans les invitations au téléchargement. Au lieu de cela, l'attribution se fait exclusivement par le biais d'identifiants techniques tels que les numéros de collaborateurs ou de clients, complétés par l'adresse de contact respective (e-mail ou numéro de téléphone), nécessaire pour l'envoi de l'invitation.

Conclusion : le traitement des photos doit être effectué par des professionnels

Les photos sur les badges des employés semblent triviales, mais elles sont exigeantes en matière de protection des données. Les entreprises doivent

  • informer de manière transparente
  • Éviter les obligations BYOD
  • Gérer proprement les consentements
  • Respecter strictement les délais de suppression
  • documenter des affectations claires
  • garantir des mesures techniques et organisationnelles

Photo Collect répond à ces exigences. Les entreprises disposent ainsi d'un processus clairement structuré et respectueux de la protection des données, qui simplifie considérablement l'ensemble du traitement des photos des collaborateurs. Le processus de prise de photos est non seulement plus efficace, mais aussi plus fiable d'un point de vue technique et juridique.

Suivez-nous sur LinkedIn LinkedIn

Nico Schefer

Écrit par

Plus de contributions

Légal & Conformité

Améliorations d'images avec l'IA - qu'est-ce qui est autorisé ?

Gestion des processus

Repenser les photos d'identité : comment les processus d'identification modernes profitent de la capture numérique des photos

Technologie

ISO/IEC 19794-5 - La norme internationale pour les images biométriques du visage

Technologie

Utiliser efficacement les bases de données photographiques existantes : Traiter les photos des employés et les photos des badges de manière professionnelle

Gestion des processus

Vérifier les photos de visa de manière automatisée : Photos d'identité conformes aux normes de l'OACI

Gestion des processus

Saisir efficacement les photos des collaborateurs avec un téléphone portable - sans application, sans login

Photos des employésPhotos des cartes d'identitéCartes d'étudiant
Téléchargement de la démoBlogNormes photo de l'OACIExpert ChatGPT
Mentions légalesDéclaration de confidentialitéPolitique en matière de cookiesÉtat du système
Photo Collect by Visible Solutions AG, Zurich, Suisse