Les badgeuses photo en entreprise collectent trop de données

Les badgeuses photo en entreprise collectent trop de données

Plusieurs organismes privés et publics sont mis en demeure par la Cnil pour leur recours à des badgeuses de contrôle des horaires incompatibles avec le RGPD. Ces appareils ne respectent pas le principe de minimisation des données.

Pour contrôler le respect des horaires de leurs employés, administrations et entreprises recourent parfois à des badgeuses photo. Ces appareils capturent ainsi une photo lors du pointage du salarié. Une façon de s’assurer de l’identité de ce dernier.

Problème, l’utilisation de ces équipements peut dans certains cas contrevenir à la législation sur la protection des données personnelles. Cet usage vaut d’ailleurs à plusieurs employeurs, publics et privés, une mise en demeure de la Cnil.

Une « collecte excessive de données » pour contrôler les horaires

Dans une décision du 27 août, l’autorité annonce cette procédure. Celle-ci fait suite à six plaintes émanant d’agents publics et de salariés. Pour la Cnil, qui a mené 4 contrôles en 2019, la mise en place des badgeuses photo entraine une « collecte excessive de données. »

Le régulateur rappelle qu’en vertu du RGPD,  les dispositifs de contrôle des horaires de travail doivent respecter le principe de minimisation. En clair, « les données collectées dans ce cadre doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de cette finalité. »

Or, les organismes contrôlés par la Cnil ne respectaient pas ce principe. Ainsi, deux à quatre fois par jour, les employés devaient se soumettre à un contrôle avec prise de photographie. Cette collecte « obligatoire et systématique » est jugée excessive par l’autorité.

Les badgeuses photo sont-elles dès lors proscrites en raison du RGPD ? Pas nécessairement. Toutefois, les employeurs doivent pouvoir justifier de « circonstances particulières et dûment étayées ». A défaut, ils devront recourir à des pointeuses à badge classiques.

Plus de managers et moins de technologies intrusives

Les conditions nécessaires à l’utilisation de badgeuses photo n’étaient pas réunies dans le cas des acteurs mis en demeure. Si les organismes collectaient des photos, leur exploitation à des fins de contrôle des horaires s’avérait quasi inexistante.

En outre, « il n’y avait pas de procédure contentieuse initiée sur la base des informations collectées par ces dispositifs » précise la Cnil. L’autorité prononce donc une mise en demeure, sans communiquer l’identité des contrevenants. La mise en conformité avec le RGPD devra intervenir dans les 3 mois.

« Le renforcement du rôle du personnel encadrant (managers), notamment pour prévenir et empêcher la fraude devrait, par principe, être privilégié au recours à des dispositifs de contrôle reposant sur des technologies intrusives » conclut le gendarme des données personnelles.

A lire également sur MyData

Recrutement digital

Algorithme d’IA dans le recrutement : les précautions RGPD à prendre

L’utilisation d’une technologie d’intelligence artificielle dans le cadre du recrutement impose des règles de conformité. Ainsi le tri de CV via du Machine Learning exige la conformité RGPD du prestataire. Les données d’apprentissage sont également fondamentales.

A propos de Christophe Auffray 353 Articles
De formation initiale en marketing Web et en économie, je me suis spécialisé par la suite dans la presse B2B consacrée à l'économie numérique et dispose dans ce secteur de 15 ans d'expérience. Spécialiste de la transformation numérique, de l'innovation et des nouveaux business models des entreprises, j'ai développé des compétences dans les domaines du marketing éditorial, de la stratégie éditoriale, de la production de contenus premium et la gestion de sites d'information et d'équipe dans l'univers des médias en ligne et du marketing des solutions innovantes.