Que faire en cas de piratage du système de pointage ou badge ?
Réponse courte
En cas de piratage du système de pointage ou de badges, l'employeur doit isoler immédiatement le système compromis, documenter l'incident et notifier la CNPD dans les 72 heures si des données personnelles sont concernées (art. 33 RGPD). Un pointage manuel provisoire doit être mis en place pour garantir la continuité du suivi du temps de travail.
Si la gravité le justifie, les personnes concernées doivent être informées (art. 34 RGPD). Une plainte pénale peut être déposée pour accès frauduleux à un système informatique. La délégation du personnel est informée et consultée sur les mesures correctives, et toute la chaîne d'actions doit être tracée pour démontrer la diligence de l'employeur.
Définition
Le piratage d'un système de pointage ou de badges désigne tout accès non autorisé, altération, exfiltration ou destruction de données relatives à la présence, aux horaires ou à l'identité des salariés. Il constitue une violation de données à caractère personnel au sens de l'article 4 (12) du RGPD, déclenchant des obligations de notification strictes. L'incident peut également caractériser une infraction pénale au titre des articles 509-1 et suivants du Code pénal luxembourgeois.
Questions fréquentes
Conditions d’exercice
L'employeur dispose de 72 heures pour notifier la violation à la CNPD (art. 33 RGPD) et doit informer les salariés si le risque pour leurs droits est élevé (art. 34).
| Condition | Détail |
|---|---|
| Détection rapide | Surveillance active et alertes automatiques sur les accès suspects |
| Qualification de la violation | Analyse du périmètre (confidentialité, intégrité, disponibilité) |
| Délai de notification CNPD | 72 heures à compter de la connaissance (art. 33 RGPD) |
| Information des personnes | Obligatoire si risque élevé pour les droits et libertés (art. 34 RGPD) |
| Traçabilité | Documentation exhaustive de l'incident et des mesures prises |
| Continuité | Mise en place d'un pointage alternatif fiable et non discriminatoire |
| Préservation des preuves | Logs, captures, rapports techniques conservés pour enquête |
Modalités pratiques
De l'isolement du système compromis au retour d'expérience, le protocole inclut l'analyse forensique, la notification CNPD, la plainte pénale et la mise en place d'un pointage manuel provisoire.
| Étape | Détail |
|---|---|
| Isolement | Déconnecter le système compromis du réseau |
| Analyse technique | Identifier l'origine, l'étendue et les données impactées |
| Notification CNPD | Déclaration via le formulaire en ligne dans les 72 heures |
| Information des salariés | Communication écrite si risque élevé |
| Plainte pénale | Dépôt auprès de la police judiciaire si intrusion caractérisée |
| Pointage provisoire | Feuilles manuelles ou application de secours |
| Consultation sociale | Information de la délégation du personnel (art. L.414-3) |
| Retour d'expérience | Post-mortem et mise à jour des procédures |
Pratiques et recommandations
Préparer un plan de réponse aux incidents avant toute cyberattaque, incluant les contacts CNPD, la check-list de notification et les modèles de communication aux salariés.
Isoler le système compromis sans l'éteindre complètement pour préserver les traces utiles à l'enquête forensique.
Notifier la CNPD même en cas de doute sur l'ampleur réelle : une notification tardive expose à des sanctions alourdies au titre de l'article 83 du RGPD.
Documenter chronologiquement chaque décision et chaque action : cette piste d'audit est essentielle pour démontrer la diligence de l'employeur.
Informer la délégation du personnel des mesures provisoires de pointage et veiller à l'égalité de traitement dans l'application des solutions de secours.
Cadre juridique
Plusieurs textes encadrent la gestion des violations de données.
| Référence | Objet |
|---|---|
| Règlement UE 2016/679 (RGPD) | Protection des données personnelles |
| Art. 33 RGPD | Notification de violation à l'autorité de contrôle |
| Art. 34 RGPD | Communication de la violation aux personnes concernées |
| Art. 32 RGPD | Sécurité du traitement |
| Art. 83 RGPD | Sanctions administratives |
| Loi du 1er août 2018 | Organisation de la CNPD et mise en œuvre du RGPD |
| Art. L.261-1 Code du travail | Surveillance et traçabilité |
| Art. L.414-3 Code du travail | Information et consultation de la délégation du personnel |
| Art. 509-1 Code pénal | Accès frauduleux à un système informatique |
Note
Le non-respect du délai de 72 heures expose à une sanction administrative pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial. La CNPD valorise la coopération et la transparence de l'employeur lors de la modulation des sanctions. Un registre des violations doit être tenu en interne, même pour les incidents non notifiés.