La protection des données personnelles dans le cadre du contrôle des accès et horaires de travail

Pour des raisons de sécurité et de contrôle de l’activité des salariés, l’employeur est amené à contrôler l’accès aux locaux de travail ainsi que les horaires de travail, et collecte ainsi un certain nombre de données personnelles qui doivent être protégées.

​Dans quels cas peut-on contrôler l’accès aux locaux de travail ?

L’employeur peut mettre en place des outils – y compris biométriques – de contrôle individuel de l’accès pour sécuriser :

• L’entrée dans les bâtiments ;
• Les locaux faisant l’objet d’une restriction de circulation.

Ces dispositifs peuvent concerner les salariés comme les visiteurs.

Des dispositifs non biométriques peuvent également être utilisés pour gérer les horaires et le temps de présence des salariés. La CNIL estime que la biométrie est un moyen disproportionné de contrôle des horaires des employés.

En cas de contrôle d’accès biométrique, une analyse d’impact sur la protection des données (PIA) doit être réalisée. L’employeur doit privilégier le stockage du gabarit biométrique du salarié sur un support individuel.

​Les droits des salariés

Le système mis en place ne peut pas servir au contrôle des déplacements à l’intérieur des locaux

Il ne doit pas entraver la liberté d’aller et venir des représentants du personnel dans l’exercice de leur mandat, ou être utilisé pour contrôler le respect de leurs heures de délégation.

Les salariés doivent être informés :

• l’identité du responsable de traitement,
• des finalités poursuivies,
• la base légale du dispositif (obligation issue du code du travail par exemple, ou intérêt légitime de l’employeur),
• des destinataires des données,
• leur droit d’opposition pour motif légitime,
• la durée de conservation des données,
• leurs droits d’accès et de rectification,
• la possibilité d’introduire une réclamation auprès de la CNIL.

Cette information peut se faire au moyen d’un avenant au contrat de travail ou d’une note de service, par exemple.

Les instances représentatives du personnel doivent être informées ou consultées avant toute décision d’installer un dispositif de contrôle des horaires ou d’accès aux locaux.

​L’accès aux données personnelles

L’accès aux données collectées doit être strictement limité aux membres habilités des services gérant le personnel, la paie, ou la sécurité.

L’employeur doit prévoir des mesures pour assurer la sécurité des informations concernant ses salariés et éviter que des personnes qui n’ont pas qualité pour y accéder puissent en prendre connaissance.

Exemples :

• Habilitations pour les accès informatiques avec une traçabilité des actions effectuées (savoir qui se connecte à quoi, quand et pour quoi faire).
• Accès au logiciel de gestion du contrôle d’accès ou des horaires limité aux personnes qui en ont besoin avec un identifiant et un mot de passe.

Il faut également impérativement prévoir :

• Une politique d’habilitation ;
• Une sécurisation des échanges ;
• Une journalisation des accès aux données et des opérations, effectuées.

Une étude des risques sur la sécurité des données est également souhaitable afin de définir les mesures les mieux adaptées, notamment lorsqu’un dispositif biométrique est mis en place.

La durée de conservation des données

Les données relatives aux accès doivent être supprimées 3 mois après leur enregistrement.

Les données utilisées pour le suivi du temps de travail, y compris les données relatives aux motifs des absences, doivent être conservées pendant 5 ans.

Si l’employeur a désigné un Délégué à la protection des données (DPO), celui-ci doit être associé à la mise en œuvre des dispositifs de contrôle. De plus les dispositifs de contrôle doivent être inscrits au registre des activités de traitement tenu par l’employeur.

​Références

Articles L 1121-1, L 1222-3, L 1222-4, L 2312-38 du Code du Travail

RÈGLEMENT (UE) n° 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).