Attention aux badgeuses photo

L’annonce est tombée le jeudi 27 Août, plusieurs organismes, à la fois publics et privés, ont été mis en demeure par la Commission Nationale de l’Informatique et des Libertés (CNIL).
Dénoncés par leurs employés pour l’utilisation de badgeuses photo afin de contrôler les horaires de travail, la commission a jugé la mise en place de ce système intrusif et disproportionné. Ces organismes ont désormais un délai de 3 mois pour se mettre en conformité, dans le cas contraire elles risquent une sanction pécuniaire dont le montant est encore inconnu.

 

UN PRINCIPE DÉJÀ INSCRIT DANS LE CODE DU TRAVAIL

Le système de badgeuse photo intègre une prise de photographie systématique à chaque pointage (soit 2 à 4 fois par jour) et ce afin de contrôler les horaires de travail des employés et d’éviter la fraude, ce que la Commission a jugé contraire au principe de minimisation des données.
Pour rappel, ce principe prévoit que les données à caractère personnelles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regarde des finalités pour lesquelles elles sont traitées.

Courant 2018, la CNIL a reçu 6 plaintes concernant ce système. Le gendarme de la vie privée a statué que “tout dispositif de contrôle des horaires de travail doit respecter le principe de minimisation prévu par l’article 5 (1.c) du RGPD. Ainsi, les données collectées dans ce cadre doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de cette finalité“. Un principe qui n’est pas nouveau puisqu’il trouve également écho dans l’article L1121-1 du Code du travail, applicable aux contrats de droit privé.  “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché“.

 

LE CONSEIL EXTERN DPO

Rien n’interdit la mise en place d’un système de badgeuse « classique », c’est-à-dire sans prise systématique de photographie. Ce système peut être mis en place pour deux finalités qu’il faudra distinguer dans votre registre des traitements :

  • Le contrôle des accès aux locaux
  • La gestion du temps de travail

Attention, dans le cadre de cette dernière finalité nous vous conseillons la réalisation d’un PIA afin de vous assurer de la conformité de votre système à la réglementation et de sa sécurité pour les données de vos salariés.