L’accès aux locaux et le contrôle des horaires

Quels outils permettent ces contrôles par l’employeur ? 

Des dispositifs avec biométrie 

L’employeur peut mettre en place des dispositifs avec biométrie. 

Le traitement de données biométriques ne peut pas être mis en place si : 

• un système de badge est suffisant ;
• si cela ne répond qu’à un besoin de confort ;
• si les locaux, applications ou appareils protégés ne sont pas particulièrement sensibles. 

Ce dispositif doit donc être justifié par des considérations spécifiques : 

• contexte et enjeux spécifique : par exemple, la manipulation des machines ou produits particulièrement dangereux, l’accès à des fonds ou des objets de valeurs ; 
• contraintes techniques et règlementaires particulières : accès à du matériel ou produits faisant l’objet d’une réglementation spécifique par exemple ;
• insuffisance ou inadéquation des moyens moins intrusifs tels que le badge ou un code d’accès.

L’employeur ne peut pas se fonder sur le consentement du salarié pour justifier la mise en place de ce dispositif. L’existence du lien hiérarchique ne permet pas un consentement libre, spécifique et éclairé. Si l’employeur décide de se fonder sur ce consentement, il devra s’assurer de l’existence d’une véritable liberté de choix par ses salariés. 

La CNIL a publié un règlement type "biométrie sur les lieux de travail" précisant aux organismes comment encadrer leurs traitements de données biométriques de contrôle d’accès aux locaux, aux applications ou aux outils de travail. Ce document revêt un caractère contraignant.

Des dispositifs non biométriques 

Des dispositifs non biométriques peuvent également être utilisés pour gérer les horaires et le temps de présence des salariés, et sont à privilégier : Système de badge ou mot de passe et identifiant souvent suffisants.

Informations des instances représentatives du personnel

Avant toute mise en place de l’un de ces dispositifs par l’employeur, celui-ci doit au préalable informé ou consulté les instances représentatives du personnel.

Quelles sont les limites à ces contrôles par l’employeur ? 

L’employeur ne peut utiliser ces outils pour contrôler les déplacements des salariés à l’intérieur des locaux.

De plus, la CNIL rappelle que leur mise en place ne doit pas entraver la liberté d’aller et venir des représentants du personnel dans l’exercice de leur mandat, ou être utilisée pour contrôler le respect de leurs heures de délégation.

Qui a accès aux données personnelles des salariés ?

Seuls les membres habilités des services gérant le personnel, la paie, ou la sécurité ont accès à ces données. 

Quels droits pour les salariés ? 

Le salarié a accès à l’ensemble des données le concernant et notamment celles relatives à l’utilisation de son badge de contrôle d’accès aux locaux. 

Le salarié peut demander d’accéder à ses données personnelles directement auprès du service en charge de de la gestion des ressources humaines ou bien au Délégué à la protection des données (DPO).

Le droit d’accès est gratuit et peut s’exercer sur place, par écrit, ou par voie électronique.

L’employeur doit répondre dans les meilleurs délais sans dépasser un délai d’un mois à compter de la réception de la demande. Passé ce délai, le salarié peut introduire une réclamation auprès de la CNIL et/ou former un recours juridictionnel à l’encontre de l’organisme.

Combien de temps sont conservées ces données ? 

D’après la Cnil, les données relatives aux accès sont conservées maximum 3 mois après son enregistrement, tandis que les données utilisées pour le suivi du temps de travail sont conservées maximum 5 ans. 

Quelles informations doivent être communiquées aux salariés ?

Si un des dispositifs de contrôle est mis en place, le salarié doit être informé :

•  de l’identité et des coordonnées du responsable de traitement ;
•  des finalités poursuivies ;
•  de la base légale du dispositif ;
•  des catégories de données traitées ;
•  des destinataires des données issues du dispositif ;
•  de la durée de conservation des données ;
•  de son droit de demander l’accès aux données, leur rectification, leur effacement ou la limitation du traitement, le droit de s’opposer au traitement ;
•  de la possibilité d’introduire une réclamation auprès de la CNIL.

Comment informer les salariés de la mise en place de ces dispositifs ? 

L’information de la mise en place de ces dispositifs peut se faire au moyen d’un avenant au contrat de travail ou d’une note de service, par exemple.

Quelles mesures de sécurités doivent être mises en place pour sécuriser les données collectées ? 

L’employeur a l’obligation d’assurer la sécurité des informations collectées et évite notamment que des personnes non autorisées accèdent aux données du dispositif.

A ce titre il va devoir mettre en place certaines mesures de sécurité qu’il estime nécessaire : 

• prévoir une politique d’habilitation 
• prévoir une sécurisation des échanges
• prévoir une journalisation des accès aux données et des opérations effectuées
• limiter l’accès au logiciel de gestion du contrôle d’accès ou des horaires aux personnes qui en sont responsable 
• accès au logiciel de gestion du contrôle d’accès ou des horaires via un identifiant et un mot de passe avec une traçabilité des actions effectuées afin de savoir qui se connecte à quoi, quand et pour quoi faire… 

D’autres mesures peuvent être envisagées.

Une étude des risques sur la sécurité des données doit donc être menée par l’employeur afin de prendre les mesures les mieux adaptées.