SOURCE : Communiqué Cnil du 27 août 2020

La Commission National de l’Informatique et des Libertés indique avoir mis en demeure pas moins de 6 organismes publics ou entreprises utilisant des badgeuses photo afin de contrôler les horaires de travail.

Il est apparu qu’après plusieurs plaintes adressées à la CNIL et les contrôles qui ont suivi un contrôle effectué au sein des structures, que les dispositifs litigieux prenaient systématiquement à chaque pointage une photographie du salarié.

Fort de ces constatations, la CNIL procède à un rappel bienvenu en matière de protection des données à caractère personnelles des salariés, pour laquelle elle avait déjà adopté un référentiel à destination des employeurs .

En effet, l’employeur doit veiller scrupuleusement à ne collecter et n’utiliser que les données pertinentes et strictement nécessaires au regard de ses propres besoins de gestion du personnel et ne doit le faire qu’à partir du moment où ce besoin se concrétise, c’est le principe de minimisation, prévu à l’article 5 du RGPD.

Il résulte de ce principe de minimisation des données que l’employeur d’être en mesure de justifier de l’adéquation entre l’objet du dispositif et les données présentes dans le traitement.

Ce principe est d’ailleurs plus généralement rappelé par l’article L. 1121-1 du Code du travail, en vertu duquel : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

Bien que constatant qu’en pratique, l’accès aux photographies pour contrôler les horaires des salariés était quasi inexistant, la collecte obligatoire et systématique, 2 à 4 fois par jour, de la photographie de l’employé à chacun de ses pointages apparaît excessive au regard de l’objectif de contrôle de la durée du travail.

Se référant ainsi au principe de minimisation mais également à la jurisprudence constante tant de la Cour de cassation que du Conseil d’Etat , la CNIL préconise l’utilisation de pointeuses à badge classiques, lesquelles sont amplement suffisantes pour procéder au « simple » contrôle des horaires de travail.

La licéité du dispositif de contrôle ayant pour effet de restreindre les droits et libertés des salariés doit s’apprécier au regard de la possibilité pour l’employeur de prévoir un autre système moins contraignant.

La CNIL rappelle au passage que les employeurs doivent privilégier le rôle des managers pour prévenir et empêcher la fraude au pointage plutôt que d’avoir recours à des dispositifs de contrôle reposant sur des technologies intrusives, au besoin par des formations ou une modification de l’organisation du travail.

Ainsi, les organismes concernés disposent d’un délai de 3 mois pour se mettre en conformité avec les dispositions du RGDP. A défaut, la CNIL pourra après réunion de la commission restreinte prononcer une sanction pécuniaire et rendre publique la décision.

La CNIL avait déjà eu à se prononcer sur l’utilisation d’un dispositif de pointage biométrique de reconnaissance des empreintes digitales aux fins d’accès aux locaux ou de contrôle des horaires des salariés . La CNIL avait reproché à l’employeur notamment d’avoir installé ce dispositif sans son autorisation préalable et sans aucune information des salariés sur ce dispositif et sur l’utilisation et la protection de leurs données biométriques, puis d’avoir conservé les traces de pointage pendant sept années. L’employeur n’ayant pas démontré des circonstances exceptionnelles fondées sur un impératif spécifique de sécurité de nature à justifier la mise en place d’un tel dispositif.