Le pointage à distance via des bornes externes est-il légal au Luxembourg ?
Réponse courte
Oui, le pointage à distance via des bornes externes est légal au Luxembourg, sous réserve du respect des obligations en matière de protection des données et de droit du travail. L'employeur doit informer le salarié individuellement avant la mise en œuvre du dispositif, consulter la délégation du personnel et garantir la conformité au RGPD.
Le registre temps travail prévu à l'article L.211-29 du Code du travail doit être tenu indépendamment du choix technique du dispositif. Les bornes externes ne dispensent pas l'employeur de ses obligations légales en matière de contrôle du temps de travail et de présentation des documents à l'ITM.
Définition
Le pointage à distance via des bornes externes désigne un système d'enregistrement du temps de travail utilisant des dispositifs électroniques situés en dehors des locaux de l'entreprise. Ces bornes, installées sur des sites clients, chantiers ou lieux de mission, permettent aux salariés d'enregistrer leurs heures de début et de fin de travail via des badges, cartes ou applications mobiles.
Ce dispositif constitue un moyen de surveillance indirecte au sens de l'article L.261-1 du Code du travail et implique un traitement de données à caractère personnel soumis au RGPD et à la loi du 1er août 2018.
Conditions d’exercice
La mise en place de bornes externes de pointage est soumise aux conditions suivantes.
| Condition | Détail |
|---|---|
| Information préalable individuelle | Informer chaque salarié par écrit avant la mise en œuvre du dispositif, conformément à l'article L.261-1 du Code du travail |
| Consultation de la délégation | Recueillir l'avis de la délégation du personnel avant toute décision définitive (article L.414-9 du Code du travail) |
| Minimisation des données | Limiter la collecte aux données strictement nécessaires à la gestion du temps de travail (article 5 RGPD) |
| Droit d'accès individuel | Garantir à chaque salarié l'accès à ses propres données de pointage (article 15 RGPD) |
| Analyse d'impact | Réaliser une AIPD si le traitement présente un risque élevé pour les droits des salariés (article 35 RGPD) |
| Registre des traitements | Inscrire le traitement dans le registre des activités de traitement (article 30 RGPD) |
Modalités pratiques
Le dispositif doit garantir la fiabilité et la traçabilité des enregistrements de temps de travail.
| Modalité | Contenu |
|---|---|
| Note d'information | Rédiger une note précisant la finalité, le fonctionnement, la base légale, la durée de conservation et les droits des salariés |
| Registre des activités | Tenir un registre des activités de traitement conforme à l'article 30 du RGPD |
| Mesures de sécurité | Mettre en œuvre des mesures techniques et organisationnelles appropriées (article 32 RGPD) |
| Procédure d'accès | Prévoir une procédure permettant aux salariés de consulter leurs données de pointage |
| Égalité de traitement | Garantir que le système traite de manière identique tous les salariés concernés |
Pratiques et recommandations
Privilégier des dispositifs techniquement fiables et facilement accessibles pour les salariés en déplacement.
Prévoir une procédure de secours en cas de panne ou d'indisponibilité de la borne, afin de garantir la continuité de l'enregistrement du temps de travail.
Documenter les choix techniques et les mesures de conformité mises en place, de manière à pouvoir les présenter en cas de contrôle de l'ITM ou de la CNPD.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.211-29 du Code du travail | Obligation de tenue d'un registre du temps de travail et présentation à l'ITM |
| Art. L.261-1 du Code du travail | Surveillance des salariés et information préalable obligatoire |
| Art. L.414-9 du Code du travail | Consultation obligatoire de la délégation du personnel |
| Art. L.241-1 du Code du travail | Principe de non-discrimination |
| Articles 5, 13, 15, 30, 32 et 35 du RGPD | Principes de traitement, information, droits d'accès, registre, sécurité et analyse d'impact |
| Loi du 1er août 2018 | Protection des données à caractère personnel et missions de la CNPD |
Note
Le non-respect des obligations légales expose l'employeur à des sanctions administratives de l'ITM (amende de 251 à 25 000 EUR pour absence de registre) et de la CNPD (jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires mondial). La fiabilité du dispositif à distance doit être équivalente à celle d'un système sur site.