Quelles sont les recommandations officielles pour choisir une badgeuse conforme au Luxembourg ?
Réponse courte
Le choix d'une badgeuse au Luxembourg doit respecter les obligations du Code du travail et du RGPD : consultation préalable de la délégation du personnel, inscription au registre des activités de traitement, information individuelle des salariés et mise en œuvre de mesures de sécurité techniques conformes aux recommandations de la CNPD.
Les systèmes par badge RFID sont à privilégier par rapport aux solutions pointage biométrique, qui requièrent systématiquement une analyse d'impact et sont soumises au principe de proportionnalité stricte.
Définition
Une badgeuse est un dispositif électronique permettant d'enregistrer les heures d'arrivée, de départ et les pauses des salariés. Elle constitue un outil de contrôle du temps de travail soumis aux dispositions du Code du travail et du RGPD.
L'article L.211-29 du Code du travail impose la tenue d'un registre du temps de travail mentionnant le début, la fin et la durée du travail journalier. La badgeuse peut servir de support technique à cette obligation, sans dispenser l'employeur de la tenue du registre lui-même.
Questions fréquentes
Conditions d’exercice
Les conditions suivantes encadrent le choix et la mise en place du dispositif.
| Condition | Détail |
|---|---|
| Consultation de la délégation | Recueillir l'avis de la délégation du personnel avant toute décision définitive (article L.414-9) |
| Information écrite | Informer individuellement chaque salarié du dispositif, de ses finalités et de ses droits (article L.261-1) |
| Registre des traitements | Inscrire le traitement dans le registre des activités de traitement (article 30 RGPD) |
| AIPD pour biométrie | Réaliser obligatoirement une analyse d'impact pour tout traitement biométrique (article 35 RGPD) |
| Minimisation des données | Collecter uniquement les données strictement nécessaires (article 5 RGPD) |
| Proportionnalité | Privilégier les solutions les moins intrusives pour la vie privée des salariés |
Modalités pratiques
Le dispositif choisi doit garantir la fiabilité des données et leur accessibilité en cas de contrôle.
| Modalité | Contenu |
|---|---|
| Chiffrement | Chiffrer les données conformément aux standards de la CNPD |
| Journalisation | Enregistrer les accès et modifications apportées aux données |
| Sauvegarde | Réaliser des sauvegardes sécurisées et régulières |
| Export | Permettre l'export des données dans un format exploitable par l'ITM |
| Correction des erreurs | Prévoir une procédure de correction des erreurs de pointage |
Pratiques et recommandations
Privilégier les systèmes par badge RFID, moins intrusifs que les dispositifs biométriques et ne nécessitant pas d'analyse d'impact systématique.
Prévoir une procédure de correction des erreurs de pointage accessible aux salariés.
Documenter exhaustivement les choix techniques et les mesures de conformité pour pouvoir les présenter en cas de contrôle de la CNPD ou de l'ITM.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.211-29 du Code du travail | Obligation de tenue du registre du temps de travail |
| Art. L.261-1 du Code du travail | Surveillance des salariés et information préalable obligatoire |
| Art. L.414-9 du Code du travail | Consultation obligatoire de la délégation du personnel |
| Articles 5, 6, 13, 30 et 35 du RGPD | Principes de traitement, information, registre et analyse d'impact |
| Loi du 1er août 2018 | Protection des données à caractère personnel et missions de la CNPD |
Note
La mise en place d'une badgeuse doit s'accompagner d'une documentation exhaustive prouvant sa conformité. Un accompagnement par un délégué à la protection des données (DPO) est recommandé pour les systèmes complexes ou biométriques. L'absence de registre du temps de travail expose l'employeur à une amende de 251 à 25 000 EUR.