La Présidente de la CNIL a récemment mis en demeure plusieurs organismes utilisant des badgeuses photo de mettre leurs dispositifs de contrôle des horaires en conformité avec le RGPD.

En 2018, la CNIL a reçu six plaintes émanant d’agents publics et de salariés d’entreprises dénonçant la mise en place par leur employeur de badgeuses photo sur leur lieu de travail. Ces dispositifs de contrôle d’accès par badge intègrent une prise de photographie systématique à chaque pointage.

Quatre contrôles, menés entre mars et septembre 2019, ont permis de confirmer l’usage de ces dispositifs au sein des organismes publics et privés.

Ce que disent les textes

Tout dispositif de contrôle des horaires de travail doit respecter le principe de minimisation prévu par l’article 5(1.c) du RGPD. Ainsi, les données collectées dans ce cadre doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de cette finalité.

Ce principe trouve également écho dans l’article L1121-1 du Code du travail, applicable aux contrats de droit privé : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

Le Conseil d’État et la Cour de cassation ont déjà eu l’occasion de préciser, à propos d’un dispositif assurant le contrôle des horaires des salariés par la collecte de leurs données de géolocalisation, que « l’utilisation (par un employeur) d’un système de géolocalisation pour assurer le contrôle de la durée du travail (de ses salariés) […] n’est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace ».

Les constatations de la CNIL

En l’occurrence, s’agissant des dispositifs concernés, la Présidente de la CNIL a considéré que l’utilisation de badgeuses photo par les organismes contrevenait au principe de minimisation. La collecte obligatoire et systématique, deux à quatre fois par jour, de la photographie de l’employé à chacun de ses pointages apparaît excessive.

En effet, les outils de gestion des horaires sans prise de photographie, tels que les pointeuses à badge classiques, apparaissent suffisants, sauf circonstances particulières et dûment étayées, pour remplir la finalité de contrôle des horaires de travail. Les pointeuses par badge enregistrent le jour et l’heure de pointage de la personne utilisant le badge et permettent d’assurer un contrôle satisfaisant des horaires de travail des agents.

Des mises en demeure de respecter le RGPD

Ces éléments ont conduit la Présidente de la CNIL à mettre les organismes concernés en demeure de rendre leurs dispositifs de contrôle des horaires conformes au RGPD dans un délai de trois mois.

Ces mises en demeure sont l’occasion de rappeler que le respect des règles de protection des données à personnelles est un facteur de transparence et de confiance. Il participe ainsi à l’obligation d’exécution de bonne foi du contrat de travail.

Plus d’infos : https://www.cnil.fr/fr/badgeuses-photo-mise-en-demeure-de-plusieurs-employeurs-pour-collecte-excessive-de-donnees

Photo : Myrhline.com

Fabrice Molinaro

Fabrice Molinaro est titulaire d’une licence en droit, d’une maîtrise d’histoire et d’une maîtrise de sciences politiques. Après un DESS en sciences de l’information-documentation, il s’oriente vers le monde de l’Internet.

Spécialités
E-réputation – Veille et recherche d’information sur Internet – Community management – Gestion de crise – Structuration de l’information et de la connaissance – Référencement – Création de e-content.