Contrôle des horaires des salariés

Rédigé par des auteurs spécialisés Ooreka  À jour en décembre 2019

Sommaire

Les entreprises disposent de plus en plus, quelle que soit leur taille, de dispositifs de badgeage. Les badges remis aux salariés permettent notamment de contrôler leur entrée dans les locaux (ainsi que celle des visiteurs), de gérer les horaires et les temps de présence, de contrôler l'accès au restaurant d'entreprise (ainsi que la facturation des repas et leur règlement).

Ce pouvoir de contrôle relève des prérogatives de l'employeur. Toutefois, le recueil des informations issues des badges constitue une collecte de données à caractère personnel, car elle porte sur des données nominatives des salariés. Quelles sont à cet égard les obligations de l'employeur au niveau de la CNIL ?

Pourquoi cette obligation de l'employeur auprès de la CNIL ?

Il s’agit ici de la gestion des badges d’accès aux locaux, ayant notamment pour finalité le contrôle de l’activité des salariés. Or les données relatives aux salariés sont, au sens de la loi, des données à caractère personnel, et tout traitement de données à caractère personnel doit faire l’objet d'une attention particulière, au regard de la loi Informatique et Libertés n° 78-17 du 6 juillet 1978 et au regard du règlement (UE) 2016/679 du 27 avril 2016 (RGPD).

À défaut d'effectuer ses obligations relatives au traitement des données personnelles, l'employeur ne pourra pas utiliser les preuves issues d'une badgeuse pour licencier un salarié. Un arrêt de la Chambre sociale de la Cour de cassation du 8 octobre 2014 a en effet invalidé un licenciement au motif que les preuves de la faute du salarié sont issues d’un « outil » qui a été tardivement déclaré à la CNIL.

De même, dans un arrêt du 2 novembre 2016, la même cour a jugé qu’un système d’enregistrement des données, permettant à une entreprise de connaître l’identité des salariés et leur heure d’entrée chaque jour, nécessitait une déclaration auprès de la CNIL (régime antérieur au 25 mai 2018) et la consultation du comité d'entreprise. À défaut, ce système est illicite et les documents qui en résultent ne peuvent être utilisés lors d'une procédure judiciaire.

En tous les cas, les contrôles d'accès aux locaux de l'entreprise, et ce même pour les zones faisant l'objet d'une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent, ne doivent pas entraver la liberté d'aller et venir des salariés protégés dans l'exercice de leurs fonctions.

Quelle formalité l'employeur doit-il accomplir auprès de la CNIL ?

Avant le 25 mai 2018 : déclaration ou demande d'autorisation

C'était à l'employeur que revenait l'obligation de faire les formalités auprès de la CNIL. En fonction de la technologie utilisée et de la finalité du contrôle, les formalités à effectuer auprès de la CNIL étaient différentes :

  • une déclaration simplifiée n° 42 pour les badgeuses classiques ;
  • une demande d'autorisation si le traitement automatisé de contrôle des horaires était susceptible, du fait de sa nature, de sa portée ou de sa finalité, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire ;
  • une demande d'autorisation si les données collectées pour la mise en œuvre du traitement étaient très sensibles, par exemple quand il s'agit de données biométriques ;
  • une déclaration dans d’autres cas.

Depuis le 25 mai 2018 : le registre des traitements

Le 25 mai 2018, le règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dit « règlement général sur la protection des données » est entré en application.

Le régime des déclarations de fichiers auprès de la CNIL a été supprimé. Seules certaines formalités préalables subsistent (demande d’avis pour les secteurs régaliens, demande d’autorisation pour certains traitements de données de santé).

Désormais, les employeurs sont pleinement responsables de la protection des données qu’ils traitent. L'article 30 du RGPD impose au responsable du traitement de tenir un registre des traitements et un registre des activités de sous-traitance (pour les entreprises qui manipulent des données personnelles pour le compte de leurs clients).

Le registre recense l’ensemble des traitements mis en œuvre par l'entreprise. Chaque fiche de registre mentionne : 

  • les parties prenantes (représentant, sous-traitants) qui interviennent dans le traitement des données ;
  • les catégories de données traitées ;
  • la finalité du recueil de ces données ;
  • l'identification des personnes ayant accès aux données et à qui elle sont communiquées ;
  • la durée de conservation des données ;
  • le système de sécurisation.

Pour en savoir plus :