Le recoupement des données de pointage avec d'autres systèmes RH est-il soumis à des règles RGPD spécifiques ?
Réponse courte
Oui, le recoupement des données de pointage avec d'autres systèmes RH constitue un traitement de données à caractère personnel soumis au RGPD et à la loi du 1er août 2018. L'employeur doit définir une finalité distincte pour chaque croisement de données, documenter la base légale du pointage applicable et respecter le principe de minimisation des données.
Tout recoupement implique une analyse préalable de la proportionnalité du traitement au regard de l'objectif poursuivi. L'employeur doit informer chaque salarié individuellement concerné du croisement envisagé, conformément à l'article L.261-1 du Code du travail, et consulter la délégation du personnel lorsqu'elle existe. La CNPD peut sanctionner tout croisement disproportionné ou non documenté, avec des amendes pouvant atteindre 20 millions d'euros.
Définition
Le recoupement de données de pointage désigne l'opération consistant à croiser les informations issues du système d'enregistrement du temps de travail avec celles provenant d'autres outils RH tels que la paie, la gestion des absences, l'évaluation des performances ou le contrôle d'accès.
Ce croisement constitue un traitement autonome au sens du RGPD, distinct du traitement initial de collecte des données de pointage. Il doit faire l'objet d'une inscription spécifique dans le registre des traitements et respecter l'ensemble des principes de protection des données.
Conditions d’exercice
Le recoupement des données de pointage avec d'autres systèmes RH est encadré par des conditions strictes. Le tableau ci-dessous récapitule les principales exigences.
| Condition | Détail |
|---|---|
| Finalité déterminée | Chaque croisement doit poursuivre une finalité explicite, légitime et documentée (calcul de paie, suivi des absences, conformité légale) |
| Base légale | Le traitement repose sur l'exécution du contrat de travail, l'obligation légale ou l'intérêt légitime de l'employeur selon l'article 6 du RGPD |
| Proportionnalité | Le croisement ne doit pas excéder ce qui est strictement nécessaire à la finalité poursuivie |
| Information préalable | Information individuelle et collective des salariés conformément à l'article l.261-1 du code du travail |
| Consultation obligatoire de | Consultation obligatoire de la délégation du personnel avant toute décision définitive, conformément à l'article l.414-9 |
| Registre | Inscription du croisement dans le registre interne des activités de traitement |
Modalités pratiques
L'employeur doit organiser le recoupement des données en respectant plusieurs modalités opérationnelles. Le tableau suivant en présente les principaux aspects.
| Modalité | Contenu |
|---|---|
| Analyse d'impact | Réaliser une analyse d'impact sur la protection des données (AIPD) si le croisement présente un risque élevé pour les droits des salariés |
| Documentation | Consigner la finalité, la base légale, les catégories de données croisées et les destinataires dans le registre des activités de traitement |
| Accès restreint | Limiter l'accès aux données croisées aux seules personnes habilitées en fonction de leur rôle |
| Durée de conservation | Appliquer une durée de conservation distincte pour les données résultant du croisement, proportionnelle à la finalité |
| Droits des salariés | Garantir l'exercice des droits d'accès, de rectification et d'opposition sur les données croisées |
Pratiques et recommandations
Cartographier l'ensemble des flux de données entre le système de pointage et les autres outils RH avant tout projet de recoupement, afin d'identifier les finalités et les risques associés.
Documenter chaque croisement de données dans une fiche de traitement spécifique du registre des activités de traitement, en précisant la base légale, les catégories de données et les destinataires.
Consulter la délégation du personnel et informer les salariés individuellement avant la mise en œuvre de tout nouveau croisement, conformément aux articles L.261-1 et L.414-9 du Code du travail.
Limiter strictement les croisements aux seules finalités documentées et éviter tout profilage ou scoring automatisé des salariés à partir des données de pointage.
Cadre juridique
| Référence | Objet |
|---|---|
| Art. L.261-1 | Surveillance des salariés et information préalable obligatoire |
| Art. L.414-9 | Consultation obligatoire de la délégation du personnel |
| Art. L.121-7 | Pouvoir de direction de l'employeur |
| RGPD, art. 5 | Principes de licéité, loyauté, transparence, minimisation et limitation de la conservation |
| RGPD, art. 6 | Bases légales du traitement de données à caractère personnel |
| RGPD, art. 35 | Analyse d'impact relative à la protection des données |
| Loi du 1er août 2018 | Protection des données à caractère personnel et surveillance des salariés |
Note
Le recoupement de données de pointage avec d'autres systèmes RH n'est pas interdit, mais il constitue un traitement distinct soumis à des obligations propres. L'absence de documentation ou de proportionnalité expose l'employeur à des sanctions de la CNPD pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. En cas de litige, le salarié peut contester la licéité du croisement devant le tribunal du travail.