Le traitement des données d'horaires doit-il être déclaré à la CNPD ?
Réponse courte
Le traitement des données liées aux horaires de travail ne fait plus l'objet d'une obligation de déclaration préalable à la CNPD, depuis l'entrée en vigueur du RGPD et de la loi du 1er août 2018, sauf exceptions spécifiques prévues par la loi. La procédure d'autorisation préalable ne subsiste que pour les traitements présentant un risque élevé, comme la biométrie.
L'employeur doit cependant documenter ce traitement dans un registre des activités de traitement, accessible à la CNPD sur demande, informer les salariés sur l'utilisation de leurs données, et réaliser une analyse d'impact relative à la protection des données (AIPD) lorsque les conditions de l'article 35 du RGPD sont réunies. La consultation de la délégation du personnel reste requise pour tout dispositif de contrôle.
Définition
Le traitement des données liées aux horaires de travail correspond à toute opération portant sur des informations permettant d'identifier directement ou indirectement un salarié à travers ses heures d'arrivée, de départ, de pauses, d'absences ou de présence sur le lieu de travail. Ces données constituent des données à caractère personnel dès lors qu'elles se rapportent à une personne physique identifiable, conformément à la loi du 1er août 2018 relative à la protection des personnes à l'égard du traitement des données à caractère personnel. Les traitements incluent la collecte, l'enregistrement, la conservation, la modification, la consultation, la communication ou la suppression de ces données.
Questions fréquentes
Conditions d’exercice
Le traitement des données d'horaires doit reposer sur une base légale valable et respecter les principes fondamentaux du RGPD.
| Critère | Exigence |
|---|---|
| Base légale | Exécution du contrat ou obligation légale |
| Licéité | Principe de l'article 6 RGPD |
| Finalité | Gestion du personnel, durée de travail |
| Minimisation | Données strictement nécessaires |
| Transparence | Information claire des salariés |
| Égalité | Traitement uniforme entre salariés |
Modalités pratiques
Depuis le RGPD et la loi de 2018, la déclaration préalable est abrogée pour les traitements courants.
| Modalité | Description |
|---|---|
| Déclaration CNPD | Non obligatoire sauf exception |
| Registre des traitements | Obligatoire en interne (loi 2018, art. 30) |
| Contenu du registre | Finalités, données, destinataires, durée |
| Information des salariés | Note d'information ou règlement interne |
| AIPD | Requise si risque élevé (RGPD art. 35) |
| Consultation | Délégation du personnel (L.414-3) |
Pratiques et recommandations
Il est recommandé à l'employeur de limiter l'accès aux données horaires aux seules personnes habilitées et de mettre en place des mesures techniques et organisationnelles appropriées pour garantir la confidentialité et l'intégrité des données. L'information des salariés doit être claire, accessible et compréhensible, précisant les droits d'accès, de rectification, d'opposition et d'effacement. En cas de recours à des dispositifs de contrôle automatisé (badgeuses, logiciels de pointage), une analyse d'impact (AIPD) peut s'avérer nécessaire si le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées. L'encadrement humain du dispositif doit être assuré, et la consultation de la délégation du personnel est requise en cas d'introduction ou de modification d'un système de contrôle.
Cadre juridique
| Référence | Objet |
|---|---|
| Loi du 1er août 2018, art. 6 | Licéité du traitement |
| Loi du 1er août 2018, art. 30 | Registre des activités de traitement |
| Loi du 1er août 2018, art. 13 | Information des personnes concernées |
| RGPD (UE) 2016/679, art. 35 | Analyse d'impact |
| Code du travail, art. L.261-1 | Surveillance sur le lieu de travail |
| Code du travail, art. L.414-3 | Consultation de la délégation du personnel |
Note
L'absence d'obligation de déclaration préalable à la CNPD ne dispense pas l'employeur de ses responsabilités en matière de documentation, de sécurité, d'information des salariés et de consultation de la délégation du personnel. Un manquement à ces obligations peut entraîner des sanctions administratives et pénales.