L'utilisation d'une pointeuse avec géolocalisation doit-elle être déclarée à la CNPD ?
Réponse courte
Depuis l'entrée en vigueur du RGPD et de la loi du 1er août 2018, il n'existe plus d'obligation générale de déclaration préalable auprès de la CNPD pour la mise en place d'une pointeuse avec géolocalisation. L'ancien régime de déclaration a été remplacé par un système de responsabilisation de l'employeur, qui doit tenir un registre des activités de traitement et, le cas échéant, réaliser une analyse d'impact relative à la protection des données.
L'employeur reste tenu de respecter l'ensemble des obligations du RGPD : information préalable de la délégation du personnel et de chaque salarié, tenue du registre des traitements, réalisation d'une AIPD si le traitement présente un risque élevé (surveillance systématique), et garantie des droits d'accès et de rectification des salariés. La CNPD conserve un pouvoir de contrôle a posteriori et peut imposer des sanctions pouvant atteindre 20 millions EUR ou 4 % du chiffre d'affaires mondial.
Définition
Une pointeuse avec géolocalisation combine l'enregistrement des heures d'arrivée et de départ avec la collecte de données de géolocalisation des salariés. Ce dispositif associe des données d'identification (nom, matricule, horaires) et des données de localisation.
La déclaration préalable était l'obligation ancienne de notifier la CNPD avant tout traitement de données. Depuis le RGPD, elle est remplacée par le principe d'accountability (responsabilisation), imposant à l'employeur de documenter sa conformité.
Conditions d’exercice
Les obligations de l'employeur se concentrent sur la documentation et la conformité.
| Critère | Détail |
|---|---|
| Déclaration CNPD | Plus obligatoire depuis le RGPD (sauf traitements biométriques soumis à autorisation) |
| Registre des traitements | Obligatoire pour tout traitement de données personnelles (RGPD art. 30) |
| AIPD | Obligatoire si surveillance systématique des salariés (RGPD art. 35) |
| Information préalable | Délégation du personnel et chaque salarié individuellement (art. L.261-1) |
| Proportionnalité | Le dispositif doit être justifié et proportionné à la finalité |
| Durée de conservation | Recommandation CNPD : 1 an maximum après la fin de la période de référence |
Modalités pratiques
La mise en conformité suit un processus structuré.
| Étape | Détail |
|---|---|
| Registre des traitements | Inscrire le traitement avec sa finalité, les données collectées et la durée de conservation |
| Analyse d'impact | Réaliser une AIPD si le dispositif implique une surveillance systématique |
| Information délégation | Transmettre une description détaillée à la délégation du personnel |
| Information individuelle | Remettre à chaque salarié un document écrit détaillant le traitement |
| Mesures de sécurité | Garantir la confidentialité, l'intégrité et la sécurité des données |
| Procédure d'exercice des droits | Mettre en place un canal permettant aux salariés d'exercer leurs droits |
Pratiques et recommandations
Documenter la conformité du traitement dans le registre des activités de traitement, en détaillant la finalité, les données collectées et la durée de conservation.
Réaliser une analyse d'impact systématiquement lorsque la géolocalisation implique un suivi régulier ou systématique des salariés.
Conserver les preuves de l'information individuelle de chaque salarié et de la consultation de la délégation du personnel.
Limiter la durée de conservation des données de géolocalisation conformément aux recommandations de la CNPD.
Prévoir une procédure de notification à la CNPD dans les 72 heures en cas de violation de données personnelles.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 | Information préalable de la délégation et des salariés pour la surveillance |
| Art. L.414-9 | Codécision dans les entreprises de 150+ salariés |
| RGPD art. 30 | Obligation de tenue d'un registre des activités de traitement |
| RGPD art. 33 | Notification de violation de données dans les 72 heures |
| RGPD art. 35 | Analyse d'impact obligatoire si risque élevé |
| Loi du 1er août 2018 | Cadre national de la protection des données |
Note
Bien que la déclaration préalable ne soit plus obligatoire, la CNPD conserve un pouvoir de contrôle a posteriori. L'employeur doit être en mesure de démontrer à tout moment la conformité de son traitement. Les traitements de pointage biométrique restent soumis à des conditions spécifiques.