La mise en place d’une badgeuse/pointeuse depuis l’entrée en vigueur du RGPD

Depuis l’entrée en vigueur du Règlement pour la Protection des Données Personnelles (RGPD) le 25 mai 2018, la mise en place d’une badgeuse/ d’une pointeuse ne requiert plus de déclaration spécifique obligatoire auprès de la CNIL.

Néanmoins, les entreprises et les associations demeurent responsables de la protection des données personnelles de leurs collaborateurs, en application du RGPD.

Avant de mettre en place ce dispositif, il convient donc de réaliser les étapes suivantes :

  • Mener une étude d’impact relative à la protection des données pour permettre de déterminer avec certitude la nécessité du traitement, sa proportionnalité, et aider à la gestion des risques potentiels pour les droits et libertés des personnes.
    En effet, dès lors qu’au sens du RGPD, les salariés font partie des personnes « vulnérables » le contrôle de leur activité par des badgeuses doit être précédé d’une étude d’impact [1].

 

  • Il est recommandé de désigner un délégué à la protection des données (DPO).
    Souvent assimilé à l’ancien correspondant informatique et libertés (CIL), ses missions sont en réalité plus étendues, et doivent couvrir l’ensemble des traitements de données personnelles.

 

  • Le CSE doit être consulté avant toute décision d’installer un dispositif de contrôle des horaires (article L 2312-8 du Code du travail).
    Dans le cadre de cette consultation, il y a lieu de rappeler les objectifs du dispositif : contrôler la durée du travail et faciliter la gestion et le traitement des données.
    De même, le dispositif lui-même doit être présenté : le système retenu, les modalités de fonctionnement, les obligations des salariés en matière de pointage, la conservation des données, le responsable des données, les destinataires de ces informations, etc.
    Enfin, vous devez rappeler les droits d’opposition, d’accès et de rectification garantissant la transparence et la fiabilité du système.
    Quant au projet, il convient de préciser le calendrier de déploiement du système au sein de l’ensemble de l’entreprise, ou site par site.

 

  • Le dispositif doit être porté préalablement à la connaissance des salariés concernés.
    Il convient d’expliquer aux salariés :

    • Les raisons de ce dispositif,
    • Son fonctionnement,
    • L’identité du responsable du fichier,
    • Les destinataires des informations,
    • Le droit d’accès/de modification des données collectées,
    • Les modalités d’exercice du droit d’opposition pour un motif légitime,
    • La durée de conservation des données.

 

  • Il convient de compléter le registre d’activités de traitement des données.
    Pour faciliter la tenue du registre, la CNIL propose un modèle de registre de base destiné à répondre aux besoins les plus courants en matière de traitements de données.
    Ce document vise à recenser les traitements de données personnelles mis en œuvre dans chaque organisme en tant que responsable de traitement. Centralisé et régulièrement mis à jour, il permet de répondre à l’obligation de tenir un registre prévue par le RGPD.

 

Le Cabinet ACCENS Avocats peut vous accompagner pour toutes vos problématiques concernant la mise en place du RGPD.


[1] (Lignes directrices du G29 sur la protection des données, voir https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf)