L'employeur peut-il recouper les données de pointage avec celles du contrôle d'accès ?
Réponse courte
Le recoupement des données de pointage avec celles du contrôle d'accès est légalement possible au Luxembourg, sous réserve du respect strict des obligations du Code du travail et du RGPD. Ce traitement nécessite la consultation préalable de la délégation du personnel, une analyse d'impact et l'information des salariés complète.
Le recoupement doit être limité aux finalités de sécurité et de gestion du temps de travail. Toute extension de finalité non déclarée constitue un détournement prohibé par la loi.
Définition
Le recoupement des données désigne l'interconnexion d'informations issues de systèmes distincts (pointage, contrôle d'accès, alarme) permettant de suivre les mouvements et la présence des salariés. Ces systèmes constituent des dispositifs de surveillance (base légale du pointage) au sens de l'article L.261-1 du Code du travail.
Ce traitement combiné implique une collecte élargie de données à caractère personnel et renforce les exigences de proportionnalité, de transparence et de sécurité prévues par le RGPD.
Conditions d’exercice
Les conditions suivantes encadrent le recoupement des données.
| Condition | Détail |
|---|---|
| Consultation de la délégation | Recueillir l'avis de la délégation du personnel avant la mise en place (article L.414-9) |
| AIPD | Réaliser une analyse d'impact en raison du caractère combiné de la surveillance (article 35 RGPD) |
| Information individuelle | Informer individuellement et collectivement les salariés du dispositif (article L.261-1) |
| Limitation de finalité | Limiter le traitement aux finalités de sécurité et de gestion du temps de travail |
| Droit d'opposition | Garantir un droit d'opposition motivé des salariés (article 21 RGPD) |
| Registre des traitements | Inscrire le traitement dans le registre des activités (article 30 RGPD) |
Modalités pratiques
Les modalités techniques et organisationnelles doivent garantir la conformité du dispositif.
| Modalité | Contenu |
|---|---|
| Registre des activités | Tenir un registre conforme à l'article 30 du RGPD décrivant le traitement combiné |
| Mesures de sécurité | Mettre en œuvre des mesures techniques et organisationnelles appropriées (article 32 RGPD) |
| Droits des salariés | Prévoir une procédure d'exercice des droits d'accès, de rectification et d'opposition |
| Durée de conservation | Limiter la conservation des données de pointage conformément aux recommandations de la CNPD |
| Traçabilité des accès | Mettre en place un système de traçabilité des accès aux données |
| Documentation | Maintenir une documentation complète accessible aux autorités de contrôle |
Pratiques et recommandations
Désigner un DPO si l'entreprise effectue une surveillance régulière et systématique des salariés, conformément à l'article 37 du RGPD.
Limiter strictement le recoupement aux finalités déclarées et documentées.
Former le personnel ayant accès aux données combinées sur les obligations de confidentialité et les limites d'utilisation.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 du Code du travail | Surveillance des salariés et information préalable obligatoire |
| Art. L.414-9 du Code du travail | Consultation obligatoire de la délégation du personnel |
| Articles 5, 6, 21, 30, 32 et 35 du RGPD | Principes, licéité, opposition, registre, sécurité et analyse d'impact |
| Loi du 1er août 2018 | Protection des données à caractère personnel et missions de la CNPD |
Note
Le non-respect des obligations liées au recoupement des données expose l'employeur à des amendes de la CNPD (jusqu'à 20 millions EUR ou 4 % du chiffre d'affaires mondial) et à des sanctions pénales prévues par le Code du travail pour défaut de consultation de la délégation du personnel.