1/ Les finalités du dispositif.
L’article L1121-1 du Code du travail dispose que :
« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».
Selon la CNIL, tout dispositif de contrôle des horaires de travail doit respecter le principe de minimisation prévu par l’article 5(1.c) du RGPD.
Ainsi, les données collectées dans ce cadre doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de cette finalité.
Dans un communiqué du 27 août 2020, la CNIL a indiqué avoir mis en demeure plusieurs organismes utilisant des badgeuses photo de mettre leurs dispositifs de contrôle des horaires en conformité avec le RGPD.
En l’occurrence, s’agissant des dispositifs concernés, la Présidente de la CNIL a considéré que l’utilisation de badgeuses photo par les organismes contrevenait au principe de minimisation.
Pour la CNIL, la collecte obligatoire et systématique, deux à quatre fois par jour, de la photographie du salarié à chacun de ses pointages apparaît excessive.
En effet, les outils de gestion des horaires sans prise de photographie, tels que les pointeuses à badge classiques, apparaissent suffisants, sauf circonstances particulières et dûment étayées, pour remplir la finalité de contrôle des horaires de travail.
Les pointeuses par badge enregistrent le jour et l’heure de pointage de la personne utilisant le badge et permettent d’assurer un contrôle satisfaisant des horaires de travail des agents.
NB : L’utilisation d’une badgeuse permet indirectement de géolocaliser le salarié.
La Cour de cassation a eu l’occasion de préciser que l’utilisation d’un système de géolocalisation pour assurer le contrôle de la durée du travail, laquelle n’est licite que lorsque ce contrôle ne peut pas être effectué par un autre moyen, n’est pas justifiée lorsque le salarié dispose d’une liberté dans l’organisation de son travail [1].
Attention : le dispositif de géolocalisation doit pouvoir être désactivé durant l’exercice d’un mandat de représentation du personnel (CA Paris 29-9-2016, n° 15/17026).
2/ Le formalisme à respecter.
Le CSE doit être informé et consulté, préalablement à la décision de mise en place d’une badgeuse, dans la mesure où celle-ci permet un contrôle de l’activité des salariés [2].
Par ailleurs, chaque salarié doit être individuellement informé, conformément à l’article L1222-4 du Code du travail selon lequel :
« Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ».
Cette information peut figurer dans le contrat de travail, dans un avenant ou dans une lettre adressée ou remise au salarié.
Dans un arrêt du 13 septembre 2023 [3], la Cour de cassation a affirmé que si l’employeur a le droit de contrôler et surveiller l’activité de ses salariés pendant le temps de travail, il ne peut utiliser un système de géolocalisation pour assurer un contrôle de l’activité des salariés qui n’a pas été porté préalablement à leur connaissance.
Le même arrêt précise que l’utilisation d’un système de géolocalisation pour assurer le contrôle de la durée du travail n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen.
3/ L’utilisation du dispositif.
L’accès aux informations de la badgeuse doit être limité au personnel habilité des services concernés, à l’employeur et au personnel habilité d’un client ou donneur d’ordre auprès duquel une prestation est justifiée.
Pour éviter notamment que des personnes non autorisées accèdent aux informations du dispositif, il est impératif de prendre des mesures de sécurité.
Par exemple, l’accès au dispositif de suivi en temps réel sur un site web doit se faire avec un identifiant et un mot de passe.
Il faut également impérativement prévoir :
- Une politique d’habilitation ;
- Une sécurisation des échanges ;
- Une journalisation des accès aux données et des opérations effectuées.
Les outils ou logiciels développés par des prestataires restent sous la responsabilité de l’employeur qui doit vérifier que ces outils ou logiciels respectent les obligations légales, en particulier les mesures de sécurité (clause contractuelle sur les obligations du sous-traitant en matière de sécurité et de confidentialité des données).
4/ La durée de conservation des données.
En principe, les informations obtenues par la badgeuse ne doivent pas être conservées plus de deux mois.
Toutefois, elles peuvent être conservées un an lorsqu’elles sont utilisées pour optimiser les tournées ou à des fins de preuve des interventions effectuées, lorsqu’il n’est pas possible de rapporter cette preuve par un autre moyen.
Enfin, elles peuvent être conservées 3 ans lorsqu’elles sont utilisées pour le suivi du temps de travail (délai de prescription des salaires).
5/ Les exigences liées au RGPD.
Si l’employeur a désigné un délégué à la protection des données (DPO), il doit être associé à la mise en œuvre du dispositif.
La désignation d’un délégué est obligatoire pour :
- Les autorités ou les organismes publics, à l’exception des juridictions dans l’exercice de leurs fonctions juridictionnelles ;
- Les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle ;
- Les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » ou relatives à des condamnations pénales et infractions.
Enfin, la badgeuse doit être inscrite au registre des activités de traitement tenu par l’employeur.
Le registre est prévu par l’article 30 du RGPD. Il participe à la documentation de la conformité.
Document de recensement et d’analyse, il doit refléter la réalité des traitements de données personnelles de l’entreprise et permettre d’identifier précisément :
- Les parties prenantes (représentant, sous-traitants, co-responsables, etc.) qui interviennent dans le traitement des données ;
- Les catégories de données traitées ;
- A quoi servent ces données, qui accède aux données et à qui elles sont communiquées ;
- Combien de temps elles sont conservées ;
- Comment elles sont sécurisées.
La CNIL propose un modèle de registre de base (format ODS) destiné à répondre aux besoins les plus courants en matière de traitements de données, en particulier des petites structures (TPE-PME, associations, petites collectivités, etc.).
Il permet de satisfaire au socle d’exigences posées par l’article 30 du RGPD.
La CNIL recommande, dans la mesure du possible, d’enrichir le registre de mentions complémentaires afin d’en faire un outil plus global de pilotage de la conformité.