Depuis le 25 mai 2018, avec l”entrée en vigueur du RGPD (Règlement Général sur la Protection des Données), il n’y a plus de déclaration obligatoire d’un fichier collaborateurs à faire auprès de la CNIL. Toutefois si vous venez d’acquérir un logiciel de gestion des temps avec badgeuse des démarches légales restent impératives. Avant de commencer à faire “pointer” le personnel, vous devrez effectuer les démarches suivantes :
1. Remplir votre Registre d’activités de traitement de données
1- Cliquez sur ce lien pour télécharger le Registre des Activités et une Fiche de Registre des Activités (format word).
2- Remplissez les informations demandées.
3- Conservez ce document soit sous format électronique soit sous format papier. A noter que ces documents pourront vous être demandés en cas de contrôle de la CNIL.
2. Consulter les représentants du personnel
La mise en place d’un système des gestion des temps au travail avec pointeuse badgeuse doit impérativement être précédée d’une information-consultation des représentants du personnel.
3. Rédiger une note de service et l’afficher dans l’entreprise
Vous devrez rédiger une note de service pour l’ensemble du personnel concerné par le pointage et faire ressortir les points suivants :
1. Identité du responsable du pointage : qui organise le pointage et recueille et exploite les données ?
2. Finalité/objectif du pointage : pourquoi met-on en place le pointage dans l’entreprise ?
3. Nature des données recueillies : quelles sont les données collectées par le système de pointage ?
4. Date à laquelle le système de pointage sera effectif
5. Indiquer que la durée de conservation des données de pointage est de 5 ans
6. Organisation de l’accès aux documents et/ou données recueillis, traités et issus du pointage (dont ce qui est imprimé) éventuellement pour les faire rectifier si erreur : documents récapitulatifs de temps de travail, données personnelles et/ou nominatives.
La note de service devra être affichée dans un délai dit “raisonnable” (environ une 10aine de jours avant la date de la mise en service).
Si vous souhaitez davantage de renseignements, vous pouvez contacter le service juridique de la CNIL au 01 53 73 22 22.
Quelles autres déclarations facultatives sont à faire auprès de la CNIL ?
Nous avons vu plus haut que la déclaration du fichier collaborateurs concernés par la solution de badgeage n’était plus à faire auprès de la CNIL. Toutefois les déclarations facultatives suivantes restent à faire dans les cas suivants :
1. Déclaration de votre DPO (Délégué à la Protection des Données) : cliquez ici pour faire la déclaration sur le site de la CNIL
2. Réaliser une analyse de risque PIA (Analyse d’Impact sur la Protection des Données). Si cette analyse révèle un risque résiduel élevé, il faudra l’envoyer à la CNIL. Visitez le site de la CNIL pour en savoir davantage.
3. Justification pour traitement de données sensibles : par exemple, utilisation de données biométriques
4. Notification en cas de violation de données à caractère personnel. Cliquez ici pour faire votre déclaration sur le site de la CNIL
Bon a savoir : Peut-on utiliser un système biométrique avec un logiciel de gestion des temps de travail ou de contrôle d’accès?
En France, depuis octobre 2012, aucune autorisation unique ne permet de contrôler les temps de travail des collaborateurs via une pointeuse badgeuse biométrique. Cliquez ici pour voir la délibération n° 2012-322 du 20 septembre 2012
En revanche, la CNIL autorise l’utilisation de la biométrie en France uniquement pour le contrôle d’accès s’il remplit les conditions suivantes :
1. Les accès concernent des zones spécifiques ou restreintes (entrepôts à forte valeur ajoutée, produits chimiques, zones militaires, salles informatiques avec données hautement sensibles, etc.)
2. Le système n’a pas pour objectif de contrôler les heures de travail des salariés
3. Justification pour traitement de données sensibles : par exemple, utilisation de données biométriques
4. Les collaborateurs de l’entreprise doivent être informés via une note de service.
Depuis le 30 juin 2016, la CNIL impose d’effectuer une démarche de justification pour utiliser un système de contrôle d’accès biométrique : remplir l’un des deux Autorisation Unique (AU).
1. AU-052 : si la donnée d’empreinte est enregistrée sur un badge
2. AU-053 : si la conservation de la donnée d’empreinte est conservée en base
Pour plus d”informations sur la biométrie sur les lieux de travail, cliquez ici pour visiter le site dédié de la CNIL