Faut-il une déclaration collective à la CNPD pour les badgeuses installées dans plusieurs sites ?
Réponse courte
Depuis l'entrée en vigueur du RGPD et de la loi du 1er août 2018, la déclaration préalable à la CNPD n'est plus requise pour les traitements liés aux badgeuses, quel que soit le nombre de sites concernés. L'employeur doit toutefois tenir un registre interne des activités de traitement, conformément à l'article 30 du RGPD, et y documenter chaque traitement lié au pointage de manière détaillée.
Le registre doit décrire les finalités, les catégories de données, les destinataires, les durées de conservation et les mesures de sécurité techniques et organisationnelles pour chaque site. Une analyse d'impact (AIPD) reste obligatoire si le dispositif permet une surveillance systématique à grande échelle, conformément à l'article 35 du RGPD. L'information préalable de la délégation du personnel demeure une obligation impérative.
Définition
La badgeuse est un dispositif permettant d'enregistrer les heures d'arrivée, de départ et de présence des salariés, généralement par le biais d'un badge nominatif. L'utilisation de badgeuses implique la collecte des heures et le traitement de données à caractère personnel au sens du RGPD et de la loi du 1er août 2018.
Le responsable du traitement est l'employeur, qui détermine les finalités et les moyens du traitement. Lorsqu'une même entreprise exploite des badgeuses sur plusieurs sites, le traitement peut être documenté dans un registre unique, à condition de distinguer les spécificités propres à chaque implantation.
Conditions d’exercice
L'utilisation de badgeuses multi-sites doit respecter les conditions suivantes.
| Condition | Détail |
|---|---|
| Base légale | Obligation légale de contrôle du temps de travail (art. L.211-29) ou intérêt légitime de l'employeur |
| Proportionnalité | Collecte limitée aux données strictement nécessaires à la gestion du temps de présence |
| Information préalable | Information du comité mixte ou de la délégation du personnel ou de l'ITM (art. L.261-1) |
| Information individuelle | Chaque salarié informé conformément à l'article 13 du RGPD |
| Registre des traitements | Documentation obligatoire selon l'article 30 du RGPD |
| AIPD | Obligatoire si surveillance systématique à grande échelle (art. 35 RGPD) |
Modalités pratiques
Le registre des traitements doit contenir les informations suivantes pour chaque site.
| Modalité | Contenu |
|---|---|
| Finalités | Gestion du temps de travail, sécurité des accès |
| Catégories de personnes | Salariés, intérimaires, prestataires le cas échéant |
| Catégories de données | Identité, horaires d'entrée et de sortie, mouvements |
| Destinataires | Service RH, direction, gestionnaire de paie |
| Durées de conservation | Recommandation CNPD : maximum 1 an après fin de la période de référence |
| Mesures de sécurité | Mesures techniques et organisationnelles adaptées (chiffrement, contrôle d'accès) |
Pratiques et recommandations
Centraliser la documentation relative aux badgeuses dans un registre unique couvrant l'ensemble des sites, en distinguant les spécificités de chaque implantation si nécessaire (catégories de salariés, accès différenciés).
Associer les représentants du personnel, conformément aux obligations d'information, à la mise en place du dispositif, conformément aux recommandations de la CNPD. L'information des salariés doit être formalisée par une note d'information ou une mention dans le règlement intérieur, en rappelant les droits d'accès, de rectification et d'opposition.
Procéder à une revue régulière du registre des traitements, en particulier lors de l'ouverture de nouveaux sites ou de la modification des dispositifs de badgeuses, afin de maintenir la conformité.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 | Information préalable obligatoire en cas de traitement à des fins de surveillance |
| Art. L.414-9 | Consultation obligatoire de la délégation du personnel |
| Art. L.211-29 | Registre du temps de travail |
| Loi du 1er août 2018 | Protection des données à caractère personnel |
| RGPD, art. 5, 13, 30, 35 | Principes de traitement, information, registre, analyse d'impact |
Note
L'absence de déclaration préalable à la CNPD ne dispense pas l'employeur de ses obligations de documentation, d'information et de sécurité des données. En cas de manquement, la CNPD peut prononcer des amendes administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial.