← Article précédent
Télécharger en PDF
Article suivant →

Est-il obligatoire de notifier la CNPD en cas de modification du dispositif de pointage ?

Réponse courte

La notification préalable à la CNPD n'est plus systématiquement requise depuis l'entrée en vigueur du RGPD. L'employeur doit cependant réaliser une analyse d'impact (AIPD) si la modification du dispositif est susceptible d'engendrer un risque élevé pour les droits et libertés des salariés, conformément à l'article 35 du RGPD. Si l'AIPD révèle un risque résiduel élevé non atténué, la consultation préalable de la CNPD est alors obligatoire (article 36 du RGPD).

Indépendamment de la CNPD, la consultation de la délégation du personnel est obligatoire avant toute modification du dispositif de contrôle dans les entreprises de 150 salariés et plus (article L.414-9 du Code du travail). Les obligations d'information des salariés doivent également être renouvelées (article L.261-1).

Définition

La notification à la CNPD consiste à informer formellement l'autorité de contrôle d'un traitement ou d'une modification de traitement de données à caractère personnel. Depuis l'entrée en vigueur du RGPD, la notification préalable a été remplacée par un système de responsabilisation (accountability) de l'employeur.

La modification du dispositif de pointage, qu'il s'agisse d'un système de pointage classique ou avancé, inclut l'ajout de fonctionnalités, le changement de technologie, l'extension du périmètre de collecte ou la modification des finalités du traitement.

Questions fréquentes

Faut-il consulter la délégation pour une modification ?
Oui, la consultation de la délégation est obligatoire pour toute modification du dispositif dans les entreprises de 150 salariés et plus selon l'article L.414-9. La consultation doit intervenir avant la mise en oeuvre, avec un dossier complet décrivant les modifications apportées au dispositif.
Faut-il mettre à jour le registre des traitements ?
Oui, le registre des activités de traitement doit être mis à jour immédiatement après chaque modification selon l'article 30 du RGPD. Les nouvelles finalités, catégories de données, destinataires, durées de conservation et mesures de sécurité doivent y être documentés précisément.
Faut-il notifier la CNPD en cas de modification du pointage ?
La notification préalable n'est plus systématiquement requise depuis le RGPD. L'employeur doit réaliser une AIPD selon l'article 35 si la modification engendre un risque élevé. Si l'AIPD révèle un risque résiduel élevé, la consultation préalable de la CNPD est obligatoire selon l'article 36.
L'information des salariés doit-elle être renouvelée ?
Oui, l'information individuelle doit être renouvelée selon l'article L.261-1 en précisant les modifications apportées, les nouvelles modalités et les droits maintenus. Un nouveau document écrit doit être remis à chaque salarié, avec accusé de réception conservé comme preuve.
Quand l'AIPD est-elle requise pour une modification ?
L'AIPD est requise si la modification est susceptible d'engendrer un risque élevé : passage à la biométrie, extension du périmètre de surveillance, ajout de fonctionnalités de géolocalisation, traitement à grande échelle. L'analyse doit documenter les risques et les mesures d'atténuation.
Que faire si le risque résiduel reste élevé ?
Si l'AIPD révèle un risque résiduel élevé non atténué, l'employeur doit consulter préalablement la CNPD selon l'article 36 du RGPD. Le dossier complet d'AIPD est transmis. La CNPD peut imposer des mesures complémentaires ou refuser le traitement projeté avant déploiement.

Conditions d’exercice

L'obligation de notification à la CNPD dépend du niveau de risque de la modification.

Situation Obligation
Modification sans risque élevé Pas de notification à la CNPD, mais mise à jour du registre des traitements (article 30 du RGPD)
Modification à risque élevé AIPD obligatoire (article 35 du RGPD)
Risque résiduel élevé après AIPD Consultation préalable de la CNPD obligatoire (article 36 du RGPD)
Passage à la biométrie AIPD systématiquement obligatoire et consultation CNPD recommandée
Consultation délégation Obligatoire pour toute modification du dispositif (article L.414-9, entreprises de 150+)
Information salariés À renouveler pour toute modification (article L.261-1)

Modalités pratiques

La procédure en cas de modification du dispositif de pointage comporte plusieurs étapes.

Étape Détail
Évaluation du risque Déterminer si la modification est susceptible d'engendrer un risque élevé
AIPD Réaliser l'analyse d'impact si nécessaire, en documentant les risques et les mesures d'atténuation
Registre Mettre à jour le registre des activités de traitement
Consultation délégation Soumettre la modification à la délégation du personnel
Information salariés Informer individuellement les salariés des modifications
Consultation CNPD Transmettre l'AIPD à la CNPD si le risque résiduel est élevé

Pratiques et recommandations

Évaluer systématiquement le niveau de risque avant toute modification du dispositif de pointage, même mineure, afin de déterminer si une AIPD est nécessaire.

Mettre à jour le registre des activités de traitement immédiatement après chaque modification, conformément à l'article 30 du RGPD.

Consulter la délégation du personnel avant toute modification, y compris les modifications techniques qui n'affectent pas la finalité du traitement.

Renouveler l'information individuelle des salariés en précisant les modifications apportées, les nouvelles modalités et les droits maintenus.

Documenter la décision de ne pas réaliser d'AIPD lorsque le risque est jugé faible, afin de pouvoir justifier cette décision en cas de contrôle de la CNPD.

Cadre juridique

Les principales dispositions applicables sont les suivantes.

Référence Objet
Article 30 du RGPD Registre des activités de traitement (mise à jour obligatoire)
Article 35 du RGPD Analyse d'impact pour les traitements à risque élevé
Article 36 du RGPD Consultation préalable de l'autorité de contrôle en cas de risque résiduel élevé
Article L.261-1 du Code du travail Information préalable des salariés (à renouveler en cas de modification)
Article L.414-9 du Code du travail Codécision avec la délégation du personnel (entreprises de 150 salariés et plus)
Loi du 1er août 2018 Protection des données à caractère personnel

Note

L'absence de consultation de la délégation du personnel ou d'information des salariés avant une modification du dispositif rend la mise en oeuvre illicite, indépendamment du respect des obligations en matière de protection des données. La CNPD et l'ITM sont compétentes pour contrôler le respect de ces obligations à tout moment.

— Référence pratique en droit du travail luxembourgeois. Contenu rédigé avec l'assistance IA et révisé par l'équipe éditoriale de Pixie. Dernière revue : . Veille continue sur le Code du travail luxembourgeois, les conventions collectives et la jurisprudence.

Pour toute situation individuelle, l'avis d'un avocat spécialisé est recommandé. Les contenus de pixie.lu ne se substituent pas à un avis juridique personnalisé et sont soumis aux conditions générales d'utilisation.

Pixie vous propose aussi...