← Article précédent
Télécharger en PDF
Article suivant →

Quelle est la durée maximale de conservation des logs de pointage selon la CNPD ?

Réponse courte

La CNPD recommande de limiter la conservation des données de pointage à un an maximum après la fin de la période de référence pour laquelle elles ont été collectées. Toutefois, la prescription en droit du travail luxembourgeois étant de 3 ans, l'employeur peut justifier une conservation jusqu'à cette durée pour se prémunir contre d'éventuels litiges. Au-delà, la conservation n'est autorisée que dans des cas exceptionnels, notamment en cas de contentieux en cours.

Le non-respect du principe de limitation de la conservation expose l'employeur à des sanctions de la CNPD pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial (article 83 du RGPD). La suppression des données à l'expiration de la durée de conservation doit être effective et documentée.

Définition

Les logs de pointage désignent l'ensemble des enregistrements informatiques ou papier permettant de tracer les horaires d'arrivée, de départ, de pauses ou de présence des salariés. Ils sont générés par des systèmes de badgeage, de biométrie, de saisie manuelle ou tout autre dispositif de contrôle du temps de travail.

Ces données constituent des données à caractère personnel, dont la collecte des heures repose sur une base légale, au sens de la loi du 1er août 2018, dès lors qu'elles permettent d'identifier directement ou indirectement un salarié. Leur conservation est soumise au principe de limitation prévu par l'article 5 du RGPD.

Questions fréquentes

Combien de temps conserver les logs de pointage selon la CNPD ?
La CNPD recommande de limiter la conservation à un an maximum après la fin de la période de référence. Toutefois, la prescription en droit du travail étant de 3 ans, l'employeur peut justifier une conservation jusqu'à cette durée pour se prémunir contre d'éventuels litiges éventuels.
Faut-il programmer une suppression automatique ?
Oui, l'employeur doit programmer la suppression automatique des données à l'expiration de la durée définie pour éviter tout risque de conservation excessive. Les opérations de suppression doivent être documentées dans le registre des activités de traitement selon l'article 30 du RGPD.
Le salarié doit-il être informé de la durée ?
Oui, l'employeur doit mentionner la durée de conservation dans l'information remise aux salariés conformément à l'article 13 du RGPD et à l'article L.261-1. La politique de conservation et de suppression doit être communiquée, ainsi que les droits dont disposent les salariés.
Pourquoi un écart entre la CNPD et le droit du travail ?
Le RGPD impose la limitation de la conservation à ce qui est strictement nécessaire selon l'article 5 paragraphe 1e. La prescription en droit du travail est de 3 ans pour les actions en paiement de salaire. L'employeur doit concilier ces deux exigences en pratique.
Que faire en cas de contentieux en cours ?
En cas de litige, la conservation peut être prolongée mais limitée à la durée nécessaire à la procédure. Les données pertinentes doivent être isolées et conservées séparément. Cette mesure doit être documentée pour justifier la dérogation à la durée normale de conservation.
Quelles sanctions en cas de conservation excessive ?
Le non-respect du principe de limitation expose l'employeur à des sanctions de la CNPD pouvant atteindre 20 millions EUR ou 4 % du chiffre d'affaires mondial selon l'article 83 du RGPD. La suppression à expiration doit être effective et documentée pour éviter ces risques.

Conditions d’exercice

La durée de conservation des logs de pointage dépend de la finalité du traitement.

Finalité Durée recommandée
Gestion courante du temps de travail Maximum 1 an après la fin de la période de référence (recommandation CNPD)
Conformité droit du travail Jusqu'à 3 ans (prescription en droit du travail)
Contentieux en cours Conservation prolongée limitée à la durée du litige, avec isolation des données concernées
Contrôle ITM L'employeur doit pouvoir présenter le registre du temps de travail sur demande (article L.211-29)

Modalités pratiques

La gestion de la durée de conservation des logs de pointage obéit à des règles précises.

Mesure Détail
Politique de conservation Définir par écrit la durée de conservation applicable en fonction de la finalité
Suppression automatique Programmer la suppression automatique des données à l'expiration de la durée définie
Documentation Documenter les opérations de suppression dans le registre des activités de traitement
Isolation contentieuse En cas de litige, isoler les données nécessaires et les conserver séparément
Registre des traitements Préciser la durée de conservation dans le registre des activités de traitement (article 30 du RGPD)
Information des salariés Mentionner la durée de conservation dans l'information remise aux salariés

Pratiques et recommandations

Définir une politique interne de conservation précisant les durées applicables en fonction de la finalité et la procédure de suppression.

Programmer la suppression automatique des données pour éviter tout risque de conservation excessive ou involontaire, conformément à la recommandation de la CNPD.

Limiter l'accès aux logs de pointage aux seules personnes habilitées et procéder à des audits réguliers pour vérifier le respect des durées de conservation.

Informer les salariés, conformément aux obligations d'information, de la politique de conservation et de suppression des logs, en précisant les durées retenues et les droits dont ils disposent.

Conserver les données au minimum 3 ans pour se conformer à la prescription en droit du travail, tout en supprimant les données au-delà de cette durée sauf contentieux en cours dûment documenté.

Cadre juridique

Les principales dispositions applicables sont les suivantes.

Référence Objet
Article 5 du RGPD Principe de limitation de la conservation des données
Article 30 du RGPD Registre des activités de traitement (mention de la durée de conservation)
Article 83 du RGPD Sanctions en cas de violation (jusqu'à 20 millions d'euros ou 4 % du CA mondial)
Article L.211-29 du Code du travail Obligation de tenue du registre du temps de travail
Loi du 1er août 2018 Protection des données à caractère personnel
Recommandations CNPD Durée maximale de conservation des données de pointage : 1 an après la fin de la période de référence

Note

L'employeur doit trouver un équilibre entre la recommandation de la CNPD (1 an maximum après la période de référence) et la nécessité de pouvoir présenter les données en cas de contrôle de l'ITM ou de litige (prescription de 3 ans en droit du travail). Toute conservation au-delà de 3 ans sans justification constitue une violation du principe de limitation et expose l'employeur à des sanctions de la CNPD.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...