Le pointage par QR code personnel est-il légalement autorisé ?
Réponse courte
Le pointage par QR code personnel est légalement autorisé au Luxembourg, sous réserve du respect des obligations du Code du travail et du RGPD. Ce dispositif constitue un traitement de données à caractère personnel soumis aux mêmes règles que tout autre système de pointage automatisé.
L'employeur doit notamment consulter la délégation du personnel (art. L.414-9), informer individuellement chaque salarié conformément à l'article L.261-1 et documenter le traitement dans le registre des activités de traitement (art. 30 RGPD). La durée de conservation des données doit être proportionnée à la finalité poursuivie. Des mesures de sécurité adaptées doivent empêcher l'utilisation frauduleuse du QR code d'un autre salarié, et une solution de secours doit être prévue en cas de dysfonctionnement technique du système de lecture.
Définition
Le pointage par QR code personnel est un système automatisé d'enregistrement du temps de travail dans lequel chaque salarié dispose d'un code-barres 2D unique qu'il scanne à l'entrée et à la sortie de l'entreprise. Ce dispositif permet l'identification individuelle du salarié et l'horodatage de sa présence.
Ce système constitue un traitement de données à caractère personnel à des fins de surveillance au sens de l'article L.261-1 du Code du travail et du RGPD, soumis aux mêmes obligations d'information que les badgeuses classiques.
Conditions d’exercice
La mise en place d'un système de pointage par QR code doit respecter les conditions suivantes.
| Condition | Détail |
|---|---|
| Base légale | Obligation légale de contrôle du temps de travail (art. L.211-29) ou intérêt légitime |
| Consultation préalable | Consultation obligatoire de la délégation du personnel (art. L.414-9) |
| Information collective | Information de la délégation du personnel selon l'article L.261-1 |
| Information individuelle | Information écrite de chaque salarié (art. 13 RGPD) |
| AIPD | Analyse d'impact si le dispositif présente un risque élevé (art. 35 RGPD) |
| Proportionnalité | Collecte limitée aux données nécessaires au contrôle du temps de travail |
Modalités pratiques
Le déploiement du système implique les mesures suivantes.
| Modalité | Contenu |
|---|---|
| Registre des traitements | Documentation complète du système (art. 30 RGPD) |
| Sécurité technique | Chiffrement des données, accès restreint aux personnes habilitées |
| Conservation des données | Durée proportionnée à la finalité, conformément aux recommandations CNPD |
| Authentification | Système empêchant l'utilisation frauduleuse du QR code d'un autre salarié |
| Gestion des incidents | Procédure de notification des violations de données (72 h à la CNPD, art. 33 RGPD) |
| Solution de secours | Dispositif alternatif en cas de dysfonctionnement technique |
Pratiques et recommandations
Prévoir une solution de secours, en choisissant un système de pointage alternatif (registre papier, badge) en cas de panne du système de lecture de QR codes, afin de garantir la continuité de l'enregistrement du temps de travail.
Sécuriser le QR code contre la reproduction frauduleuse, par exemple en utilisant des codes dynamiques ou en couplant le scan avec un second facteur d'authentification. La sensibilisation des salariés à la confidentialité de leur code personnel contribue à prévenir les abus.
Documenter la conformité du système et mettre à jour le registre des traitements en cas de modification substantielle, ce qui nécessite une nouvelle consultation de la délégation du personnel.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 | Surveillance des salariés et information préalable obligatoire |
| Art. L.414-9 | Consultation obligatoire de la délégation du personnel |
| Art. L.211-29 | Registre du temps de travail |
| RGPD, art. 5, 6 | Principes et bases légales du traitement |
| RGPD, art. 13, 30, 35 | Information, registre des traitements, analyse d'impact |
| Loi du 1er août 2018 | Protection des données à caractère personnel |
Note
Toute modification substantielle du système nécessite une nouvelle consultation de la délégation du personnel et une mise à jour de la documentation RGPD. Le non-respect des obligations peut entraîner des sanctions administratives de la CNPD et de l'ITM.