La présidente de la Commission nationale de l’informatique et des libertés (ci-après « Cnil »), Madame Marie-Laure DENIS, a mis en demeure plusieurs organismes, dont elle n’a pas communiqué le nom, ayant recours à un dispositif de contrôle d’accès par badge, de se mettre en conformité avec le Règlement général sur la protection des données (ci-après « RGPD ») dans un délai de trois mois à compter du prononcé de ces mises en demeure.

 

Ces mises en demeure font suite à six plaintes d’agents publics et de salariés qui ont été déposées auprès de la Cnil pour dénoncer la mise en place de badgeuses photo par leurs employeurs. 

 

En effet, ce dispositif de pointage a pour particularité de prendre une photographie des employés à chaque pointage. 

 

Les organismes concernés par ces mises en demeure sont des sociétés privées mais également des organismes publics, non épargnés par la réglementation sur les données personnelles.

​

Un rappel du principe de minimisation 

  

La présidente de la Cnil a considéré que l’usage de badgeuse photo, de manière systématique et obligatoire, par les organismes concernés constituait un manquement au principe de minimisation des données prévu à l’article 5 (1.c) du RGPD, lequel prévoit que : 

 

« Les données à caractère personnel doivent être : c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (minimisation des données) ; »

 

Le principe de minimisation apparaît ainsi dans le règlement en fin de phrase entre parenthèse mais est pourtant régulièrement rappelé par la Cnil. 

 

Ce principe impose d’éviter de traiter des données à caractère personnel sauf si, pour atteindre l’objectif recherché, il est impossible ou très difficile de faire autrement.

 

Dans un tel cas, le recours aux données à caractère personnel est une dérogation dont il convient de minimiser le recours sur l’ensemble des spécifications de cette problématique relative à :

 

• l’étendue des catégories de données ;

• la quantité de données ;

• le caractère plus ou moins nécessaire de telles données.

 

Le principe de minimisation vise ainsi à limiter la collecte et le traitement de données à ce qui est nécessaire au regard de la finalité des traitements. 

 

Ainsi, la Cnil rappelle qu’il est nécessaire pour une société de vérifier la pertinence des données collectées et traitées dans le cadre du contrôle des horaires de travail, ce qui n’est pas le cas en l’espèce lors du recours aux badgeuses photos.

 

Le principe de minimisation dans le Code du travail 

 

Pour prononcer ces mises en demeure, la Cnil se fonde également sur l’article L.1121-1 du Code du travail qui dispose que : 

 

« Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché ».

 

La Cnil s’est notamment appuyée sur une décision du Conseil d’État rendue le 15 décembre 2017 ainsi que sur un arrêt rendu par la Chambre sociale de la Cour de cassation le 19 décembre 2018 précisant que « l'utilisation (par un employeur) d'un système de géolocalisation pour assurer le contrôle de la durée du travail (de ses salariés) […] n'est licite que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace ».

 

Le Conseil d’État et la Cour de cassation avaient ainsi eu à se prononcer sur un dispositif assurant le contrôle des horaires de travail des salariés par la collecte de données de géolocalisation, ce dispositif ne pouvant être utilisé que lorsqu’il « ne peut pas être fait par un autre moyen, fût-il moins efficace », reprenant ainsi le même principe que celui de minimisation du RGPD.

 

Un contrôle suffisant des badgeuses dites « classiques » 

 

La Cnil a considéré que, dans le cas des organismes mis en demeure, le recours aux badgeuses photo apparaissait être « excessif », les organismes rendant la collecte des photographies des salariés et agents publics « obligatoire » et « systématique ». 

 

La présidente de la Cnil a estimé que les badgeuses dites « classiques » présentaient un « caractère suffisant » au regard du but final recherché par ses organismes, à savoir contrôler les horaires de travail des employés. 

 

La Cnil avait eu l’occasion de se prononcer, en 2018, sur le contrôle des horaires des salariés au regard de la réglementation sur les données personnelles, et notamment du contrôle biométrique, en affirmant que le contrôle d’accès sans biométrie est à privilégier, dès lors qu’un système de badge est suffisant ou que les locaux ne sont pas particulièrement sensibles.

 

La Cnil estimait ainsi déjà que la biométrie était un moyen disproportionné de contrôle des horaires des employés : https://www.cnil.fr/fr/lacces-aux-locaux-et-le-controle-des-horaires-sur-le-lieu-de-travail. 

 

Une mise en demeure des organismes ne respectant pas le principe de minimisation 

 

La Cnil a enjoint les organismes visés par ces plaintes de mettre leurs dispositifs de contrôle des horaires de travail en conformité avec le RGPD dans un délai de trois mois, sous peine de saisir la formation restreinte qui pourra alors prononcer une sanction pécuniaire et rendre la décision publique.

 

La Cnil a le pouvoir de rendre publique sa mise en demeure, ce qu’elle a décidé à 2 reprises sur les 42 mises en demeure prononcées dans le courant de l’année 2019, mais ne l’a pas fait en l’espèce. 

 

Il semble cependant que les mises en demeure ait étaient rendues fin août 2020, les trois mois pour se mettre en conformité expirant alors aux environs de la fin du mois de novembre.

 

Si les organismes concernés ne se sont pas mis en conformité avec la réglementation à l’expiration du délai de trois mois laissé par la Cnil, ceux-ci devront en expliquer les raisons à la Cnil et faire éventuellement face à un nouveau contrôle, pouvant aboutir à une sanction, le cas échéant, ainsi qu’à la publication de cette sanction.

 

Encore une fois, la Cnil rappelle l’importance du respect des règles de protection des données personnelles qui est « un facteur de transparence et de confiance ». 

 

Une mise en demeure de la Cnil

 

Une mise en demeure de la Cnil intervient après une plainte ou un contrôle.

 

Elle est prononcée par le Président de la Cnil, à cette date Madame Marie-Laure DENIS, adressée à un organisme, de cesser les manquements constatés au regard du RGPD, dans un délai fixé. 

 

La mise en demeure détaille ce qui est attendu des sociétés concernées pour se mettre en conformité. La mise en demeure peut être rendue publique puis est, dans tous les cas, anonymisée après un délai de 2 ans. La clôture de la mise en demeure est également publique dans ce cas. 

 

A la suite du prononcé de la mise en demeure : 

 

• soit la société répond à la Cnil, conformément à ses exigences, alors la mise en demeure est clôturée, par un courrier en ce sens ; 

• sinon, la Cnil peut lui demander un complément d’informations ;

• si la réponse n’est pas satisfaisante, ou que la société ne répond pas du tout, une procédure de sanction peut être engagée ;

• dans tous les cas, même après la clôture de la mise en demeure, un nouveau contrôle peut être mené par la Cnil ultérieurement, afin de s’assurer de la mise en conformité de la société dans le temps.

 

Toutes les mises en demeure de la Cnil, publiques ou non publiques (dans ce cas il ne s’agit que d’un résumé sans nommer la société, comme en l’espèce) sont accessibles ici : https://www.cnil.fr/fr/thematique/cnil/mises-en-demeure.