Selon la CNIL, une badgeuse photographiant le salarié à chaque pointage conduit à une collecte excessive de données personnelles au regard de l’objectif de contrôle de la durée du travail.
Après plusieurs plaintes de salariés et d’agents publics, la Cnil a effectué des contrôles chez leurs employeurs et constaté l’utilisation de dispositifs de contrôle d’accès par badge intégrant une prise de photographie systématique à chaque pointage.
La Cnil considère que l’utilisation de badgeuses photo pour contrôler la durée du travail méconnaît le principe de minimisation prévu par l’article 5-1-c du RGPD, en application duquel les données collectées doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de la finalité du dispositif cf article L 1121-1 du Code du travail.
Pour la Cnil, la collecte obligatoire et systématique, 2 à 4 fois par jour, de la photographie de l’employé à chacun de ses pointages apparaît excessive au regard de l’objectif de contrôle de la durée du travail, même si elle note qu’en pratique, l’accès aux photographies pour contrôler les horaires des salariés était quasi inexistant.
Selon le communiqué diffusé sur son site internet le 27 août 2020, ces éléments ont conduit à mettre les organismes concernés en demeure de rendre leurs dispositifs de contrôle des horaires conformes au RGPD dans un délai de trois mois. Si passé ce délai, les organismes ne s’y conforment pas, la Cnil pourrait prononcer une sanction pécuniaire et rendre celle-ci publique.
Pour la Cnil, les outils de gestion des horaires sans prise de photographie, tels que les pointeuses à badge classiques, apparaissent suffisants, sauf circonstances particulières dûment étayées : les pointeuses par badge enregistrant le jour et l’heure de pointage de la personne utilisant le badge permettent d’assurer un contrôle satisfaisant des horaires de travail.
La Cnil indique par ailleurs que le renforcement du rôle du personnel d’encadrement pour prévenir et empêcher la fraude devrait, par principe, être privilégié au recours à des dispositifs de contrôle reposant sur des technologies intrusives.
Pour en savoir plus Communiqué Cnil du 27-8-2020
feelrh.wordpress.com 