Quelles sont les obligations légales liées à l'installation d'une pointeuse connectée à un logiciel RH ?
Réponse courte
L'installation d'une pointeuse connectée à un logiciel RH constitue un traitement automatisé de données à caractère personnel soumis à des obligations cumulatives. L'employeur doit respecter les obligations d'information des salariés conformément à l'article L.261-1 du Code du travail, consulter la délégation du personnel dans les entreprises de 150 salariés et plus (article L.414-9), et inscrire le traitement au registre des activités de traitement conformément à l'article 30 du RGPD.
Le système doit respecter les principes de finalité, de proportionnalité et de sécurité des données. La durée de conservation des données de pointage doit être limitée à ce qui est strictement nécessaire, la CNPD recommandant un maximum d'un an après la fin de la période de référence. L'employeur doit en outre garantir la confidentialité des données et limiter l'accès aux seules personnes habilitées.
Définition
Une pointeuse connectée est un dispositif électronique qui enregistre automatiquement les heures d'entrée et de sortie des salariés et transmet ces données à un logiciel de gestion RH. Ce système constitue un traitement automatisé de données à caractère personnel au sens de la loi du 1er août 2018.
La connexion au logiciel RH implique un flux de données continu, dont la collecte des heures repose sur une base légale, entre le dispositif de pointage et le système d'information de l'entreprise, ce qui renforce les obligations en matière de sécurité, de traçabilité et de limitation des accès.
Conditions d’exercice
L'installation d'une pointeuse connectée est soumise à des conditions préalables strictes.
| Obligation | Fondement |
|---|---|
| Information préalable des salariés | Article L.261-1 du Code du travail : description de la finalité, des modalités, de la durée de conservation et engagement de non-utilisation à d'autres fins |
| Consultation de la délégation | Article L.414-9 du Code du travail : codécision pour l'introduction d'installations de contrôle (entreprises de 150 salariés et plus) |
| Registre des traitements | Article 30 du RGPD : inscription du traitement avec description des catégories de données, des finalités et des destinataires |
| AIPD si risque élevé | Article 35 du RGPD : analyse d'impact obligatoire si le traitement est susceptible d'engendrer un risque élevé |
| Mesures de sécurité | Article 32 du RGPD : mesures techniques et organisationnelles appropriées (chiffrement, contrôle d'accès, traçabilité) |
| Limitation de la conservation | Recommandation CNPD : maximum 1 an après la fin de la période de référence |
Modalités pratiques
L'installation doit suivre une procédure structurée.
| Étape | Détail |
|---|---|
| Information individuelle | Remettre à chaque salarié un document précisant la finalité, la base légale, les destinataires, la durée de conservation et les droits |
| Consultation | Soumettre le projet à la délégation du personnel avec un dossier technique complet |
| Registre | Inscrire le traitement au registre des activités de traitement en précisant les flux de données vers le logiciel RH |
| Sécurité | Mettre en place le contrôle d'accès, le chiffrement des données en transit et au repos, la traçabilité des consultations |
| Suppression | Programmer la suppression automatique des données à l'expiration de la durée de conservation |
| Audit | Planifier des audits réguliers de conformité du système |
Pratiques et recommandations
Limiter l'accès aux données de pointage aux seules personnes habilitées, en définissant des profils d'accès distincts dans le logiciel RH selon les besoins opérationnels.
Documenter les flux de données entre la pointeuse et le logiciel RH pour pouvoir démontrer la conformité en cas de contrôle de la CNPD.
Réaliser une AIPD dès lors que le système permet un suivi systématique des salariés, conformément aux lignes directrices de la CNPD.
Former régulièrement le personnel habilité aux obligations de confidentialité et aux bonnes pratiques de gestion des données de pointage.
Prévoir une procédure de notification à la CNPD en cas de violation de données, dans un délai de 72 heures conformément à l'article 33 du RGPD.
Cadre juridique
Les principales dispositions applicables sont les suivantes.
| Référence | Objet |
|---|---|
| Article L.261-1 du Code du travail | Information préalable sur les dispositifs de surveillance |
| Article L.414-9 du Code du travail | Codécision avec la délégation du personnel (entreprises de 150 salariés et plus) |
| Article L.211-29 du Code du travail | Obligation de tenue du registre du temps de travail |
| Loi du 1er août 2018 | Protection des données à caractère personnel |
| RGPD (Règlement UE 2016/679) | Articles 5, 13, 30, 32, 33 et 35 (principes, information, registre, sécurité, notification, AIPD) |
Note
Le non-respect des obligations légales expose l'employeur à des amendes de la CNPD pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, ainsi qu'à des sanctions de l'ITM pour défaut de registre du temps de travail. La conformité doit être maintenue et documentée en permanence.