Les entreprises disposent de plus en plus, quelle que soit leur taille, de dispositifs de badgeage. Les badges remis aux salariés permettent notamment de contrôler leur entrée dans les locaux (ainsi que celle des visiteurs), de gérer les horaires et les temps de présence, de contrôler l'accès au restaurant d'entreprise (ainsi que la facturation des repas et leur règlement).
Ce pouvoir de contrôle relève des prérogatives de l'employeur. Toutefois, le recueil des informations issues des badges constitue une collecte de données à caractère personnel, car elle porte sur des données nominatives des salariés. Quelles sont à cet égard les obligations de l'employeur au niveau de la CNIL ?
Pourquoi cette obligation de l'employeur auprès de la CNIL ?
Il s’agit ici de la gestion des badges d’accès aux locaux, ayant notamment pour finalité le contrôle de l’activité des salariés. Or les données relatives aux salariés sont, au sens de la loi, des données à caractère personnel, et tout traitement de données à caractère personnel doit faire l’objet d'une attention particulière, au regard de la loi Informatique et Libertés n° 78-17 du 6 juillet 1978 et au regard du règlement (UE) 2016/679 du 27 avril 2016 (RGPD).
À défaut d'effectuer ses obligations relatives au traitement des données personnelles, l'employeur ne pourra pas utiliser les preuves issues d'une badgeuse pour licencier un salarié. Un arrêt de la chambre sociale de la Cour de cassation du 8 octobre 2014 avait en effet invalidé un licenciement au motif que les preuves de la faute du salarié sont issues d’un « outil » qui a été tardivement déclaré à la CNIL.
De même, dans un arrêt du 2 novembre 2016, la même cour avait jugé qu’un système d’enregistrement des données, permettant à une entreprise de connaître l’identité des salariés et leur heure d’entrée chaque jour, nécessitait une déclaration auprès de la CNIL (avant le 25 mai 2018) et la consultation du comité d'entreprise. À défaut, ce système était illicite et les documents qui en résultaient ne pouvaient être utilisés lors d'une procédure judiciaire.
En tous les cas, les contrôles d'accès aux locaux de l'entreprise et ce, même pour les zones faisant l'objet d'une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent, ne doivent pas entraver la liberté d'aller et venir des salariés protégés dans l'exercice de leurs fonctions.
À noter : depuis le 30 octobre 2012, la CNIL a établi que la mise en place d'un dispositif biométrique pour remplacer la badgeuse classique est disproportionnée au regard de l'atteinte possible à la vie privée des salariés. Elle veut en effet exercer sa vigilance sur les données biométriques qui sont des éléments très sensibles. Uniques et permanentes, elles permettent d’identifier de manière certaine un individu à partir de ses caractéristiques physiques et biologiques, par exemple à partir d’une empreinte digitale ou du contour de la main.
Bon à savoir : la CNIL considère comme excessif et contraire au RGPD le fait de contrôler les horaires de travail du personnel par le biais d'un système de badgeage intégrant une prise de photographie systématique des salariés à chaque pointage (CNIL, communiqué, 27 août 2020).
Quelle formalité l'employeur doit-il accomplir auprès de la CNIL ?
Depuis le 25 mai 2018 : le registre des traitements
Le 25 mai 2018, le règlement (UE) 2016/679 du 27 avril 2016 (RGPD) dit « règlement général sur la protection des données » est entré en application.
Le régime des déclarations de fichiers auprès de la CNIL a été supprimé. Seules certaines formalités préalables subsistent (demande d’avis pour les secteurs régaliens, demande d’autorisation pour certains traitements de données de santé).
Désormais, les employeurs sont pleinement responsables de la protection des données qu’ils traitent. L'article 30 du RGPD impose au responsable du traitement de tenir un registre des traitements et un registre des activités de sous-traitance (pour les entreprises qui manipulent des données personnelles pour le compte de leurs clients).
Le registre recense l’ensemble des traitements mis en œuvre par l'entreprise. Chaque fiche de registre mentionne :
- les parties prenantes (représentant, sous-traitants) qui interviennent dans le traitement des données ;
- les catégories de données traitées ;
- la finalité du recueil de ces données ;
- l'identification des personnes ayant accès aux données et à qui elle sont communiquées ;
- la durée de conservation des données ;
- le système de sécurisation.
Bon à savoir : si l'entreprise a désigné un délégué à la protection des données (DPD), interne ou externe, celui-ci peut être chargé de la tenue du registre.
À noter : le comité social et économique (CSE) doit être informé et consulté préalablement à la décision de mise en œuvre de moyens ou de techniques permettant un contrôle de l'activité des salariés (Cass. soc., 11 décembre 2019, n° 18-11.792).
Avant le 25 mai 2018 : déclaration ou demande d'autorisation
C'était à l'employeur que revenait l'obligation de faire les formalités auprès de la CNIL. En fonction de la technologie utilisée et de la finalité du contrôle, les formalités à effectuer auprès de la CNIL étaient différentes :
- une déclaration simplifiée n° 42 pour les badgeuses classiques ;
- une demande d'autorisation si le traitement automatisé de contrôle des horaires était susceptible, du fait de sa nature, de sa portée ou de sa finalité, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire ;
- une demande d'autorisation si les données collectées pour la mise en œuvre du traitement étaient très sensibles, par exemple quand il s'agit de données biométriques ;
- une déclaration dans d’autres cas.
Pour en savoir plus :
- Quelles sont les règles à observer par l'employeur pour contrôler le temps de travail de ses salariés ?
- Comment fonctionnent les badgeuses et quels renseignements fournissent-elles à l'employeur ?
- Quels sont les droits et les limites de la géolocalisation des salariés, cette technique qui permet à l'employeur de suivre leurs déplacements ?
- Pour tout savoir sur le licenciement, consultez notre guide pratique, téléchargeable gratuitement.