La badgeuse constitue-t-elle un traitement à risque élevé nécessitant une DPIA systématique ?
Réponse courte
Une badgeuse classique à badge ou code ne constitue pas automatiquement un traitement à risque élevé nécessitant une AIPD systématique au sens de l'article 35 du RGPD. L'obligation dépend de la nature du dispositif et des données collectées. Une badgeuse simple, limitée à l'enregistrement des heures d'arrivée et de départ pour la tenue du registre du temps de travail, ne remplit pas en soi les critères de risque élevé.
En revanche, l'AIPD devient obligatoire dès que le dispositif intègre des données biométriques, une géolocalisation des salariés ou une surveillance systématique des salariés. Le cumul de plusieurs critères de risque (données sensibles, suivi à grande échelle, profilage) renforce cette obligation. La CNPD recommande de réaliser une AIPD en cas de doute.
Définition
Un traitement à risque élevé au sens de l'article 35 du RGPD est un traitement susceptible d'engendrer un risque important pour les droits et libertés des personnes physiques, en raison de sa nature, de sa portée, de son contexte ou de ses finalités. Le Comité européen de la protection des données a défini neuf critères d'évaluation, dont la présence d'au moins deux suffit généralement à déclencher l'obligation d'AIPD.
La badgeuse est un dispositif d'enregistrement du temps de travail qui peut, selon sa configuration, relever d'un traitement standard (badge simple) ou d'un traitement à risque élevé (biométrie, géolocalisation, surveillance continue).
Conditions d’exercice
L'obligation d'AIPD dépend des caractéristiques du dispositif de pointage.
| Type de badgeuse | AIPD obligatoire | Justification |
|---|---|---|
| Badge RFID simple | Non, sauf circonstances particulières | Collecte limitée aux identifiants et horaires |
| Code personnel | Non | Pas de donnée sensible, traitement minimal |
| Badgeuse biométrique | Oui, systématiquement | Donnée sensible au sens de l'article 9 du RGPD |
| Badgeuse avec géolocalisation | Oui | Surveillance systématique des déplacements |
| Badgeuse avec analyse comportementale | Oui | Profilage des salariés |
| Badgeuse couplée à la vidéosurveillance | Oui | Cumul de surveillance systématique et de données à grande échelle |
| Badge simple + croisement données RH | Recommandée | Risque de profilage par combinaison de données |
Modalités pratiques
L'évaluation du niveau de risque du dispositif de pointage s'effectue selon la grille suivante.
| Critère CEPD | Application au pointage |
|---|---|
| Évaluation ou notation | Applicable si les données de pointage servent à évaluer la performance ou l'assiduité |
| Prise de décision automatisée | Applicable si le pointage déclenche automatiquement des alertes ou sanctions |
| Surveillance systématique | Applicable si le dispositif enregistre les déplacements en continu |
| Données sensibles | Applicable si recours à la biométrie |
| Données à grande échelle | Applicable si le dispositif couvre un très grand nombre de salariés |
| Croisement de données | Applicable si les données de pointage sont combinées avec d'autres traitements |
| Personnes vulnérables | Les salariés sont considérés comme personnes vulnérables en raison du lien de subordination |
Pratiques et recommandations
Évaluer le niveau de risque du dispositif de pointage avant toute mise en place en appliquant les critères du Comité européen de la protection des données. Si deux critères ou plus sont remplis, l'AIPD est obligatoire. En cas de doute, la réaliser par précaution.
Documenter l'analyse de risque même lorsque l'AIPD n'est pas obligatoire, car cette documentation démontre la démarche de conformité de l'employeur en cas de contrôle de la CNPD.
Privilégier les dispositifs les moins intrusifs (badge RFID, code personnel) pour rester en dessous du seuil de risque élevé et simplifier la conformité.
Réévaluer le niveau de risque à chaque modification du dispositif (ajout de géolocalisation, changement de prestataire, extension du périmètre de collecte) et réaliser une nouvelle AIPD si les critères ont évolué.
Cadre juridique
| Référence | Objet |
|---|---|
| Article 35 du RGPD | Obligation d'AIPD en cas de traitement à risque élevé |
| Article 9 du RGPD | Traitement des données sensibles, dont les données biométriques |
| Lignes directrices WP248 du CEPD | Critères d'identification des traitements à risque élevé |
| Art. L.261-1 du Code du travail | Encadrement de la surveillance des salariés |
| Art. L.414-9 du Code du travail | Codécision avec la délégation du personnel pour les systèmes automatisés |
| CNPD | Liste des traitements nécessitant une AIPD, lignes directrices applicables au Luxembourg |
| Loi du 1er août 2018 | Protection des données à caractère personnel en droit luxembourgeois |
Note
Le lien de subordination entre employeur et salarié est un facteur aggravant dans l'analyse de risque, car il réduit la capacité du salarié à s'opposer au traitement. La CNPD en tient compte dans son appréciation du risque. Un dispositif de pointage simple peut basculer dans la catégorie « risque élevé » par l'ajout progressif de fonctionnalités sans réévaluation formelle du niveau de risque.