Quelles règles s'appliquent si la pointeuse est gérée par un prestataire externe ?
Réponse courte
L'externalisation de la gestion d'un système de pointage impose à l'employeur de conclure un contrat de sous-traitance conforme à l'article 28 du RGPD avec le prestataire. L'employeur reste responsable du traitement des données à caractère personnel des salariés et doit garantir le respect de la loi du 1er août 2018 et du Code du travail.
Le prestataire agit en qualité de sous-traitant et ne peut traiter les données que sur instruction de l'employeur. L'obligation d'information et l'obligation de tenue du registre temps travail (article L.211-29) et de consultation de la délégation du personnel (article L.414-9) demeure intégralement à la charge de l'employeur.
Définition
La gestion d'une pointeuse par un prestataire externe consiste à confier à une entité tierce la fourniture, l'hébergement, la maintenance ou l'exploitation du système d'enregistrement du temps de travail. Le prestataire agit en qualité de sous-traitant au sens de l'article 4 du RGPD : il traite les données pour le compte et sur instruction de l'employeur, responsable du traitement.
Ce dispositif implique un transfert de données à caractère personnel vers un tiers, soumis aux exigences de sécurité, de confidentialité et de traçabilité prévues par le RGPD et la loi du 1er août 2018.
Conditions d’exercice
Les conditions suivantes encadrent le recours à un prestataire externe.
| Condition | Détail |
|---|---|
| Contrat de sous-traitance | Conclure un contrat conforme à l'article 28 du RGPD, précisant l'objet, la durée, la finalité et les obligations du sous-traitant |
| Garanties suffisantes | Vérifier que le prestataire présente des garanties en matière de sécurité et de confidentialité des données |
| Information préalable | Informer les salariés individuellement du dispositif et du recours à un prestataire (article L.261-1) |
| Consultation de la délégation | Consulter la délégation du personnel avant la mise en place (article L.414-9) |
| AIPD | Réaliser une analyse d'impact si le traitement présente un risque élevé (article 35 RGPD) |
| Registre des traitements | Inscrire le traitement dans le registre des activités de traitement (article 30 RGPD) |
Modalités pratiques
Le contrat de sous-traitance doit encadrer précisément les conditions de traitement des données.
| Modalité | Contenu |
|---|---|
| Instructions de traitement | Définir précisément les instructions, les mesures de sécurité et les modalités d'accès aux données |
| Confidentialité | Prévoir des clauses de confidentialité et d'interdiction de sous-traitance ultérieure sans accord écrit |
| Notification des violations | Imposer au prestataire de notifier toute violation de données sans délai |
| Assistance contrôle | Prévoir l'assistance du prestataire en cas de contrôle de la CNPD ou de l'ITM |
| Restitution et destruction | Définir les modalités de restitution ou de destruction des données à la fin du contrat |
Pratiques et recommandations
Réaliser des audits réguliers du prestataire pour vérifier le respect des engagements contractuels et des exigences légales.
Mettre à jour le registre des activités de traitement à chaque modification du dispositif ou changement de prestataire.
Former les personnes habilitées à accéder aux données sur les obligations de confidentialité et de sécurité.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.211-29 du Code du travail | Tenue du registre du temps de travail et présentation à l'ITM |
| Art. L.261-1 du Code du travail | Surveillance des salariés et information préalable obligatoire |
| Art. L.414-9 du Code du travail | Consultation obligatoire de la délégation du personnel |
| Articles 4, 28, 30 et 35 du RGPD | Définitions, sous-traitance, registre des traitements et analyse d'impact |
| Loi du 1er août 2018 | Protection des données à caractère personnel et missions de la CNPD |
Note
Le recours à un prestataire externe ne décharge pas l'employeur de sa responsabilité en matière de protection des données. Toute négligence dans la sélection du prestataire ou dans la rédaction du contrat de sous-traitance engage la responsabilité de l'employeur devant la CNPD et les juridictions du travail.