Les pointeuses avaient été à chaque fois mises en place sur le lieu de travail et prenaient des clichés de façon abusive, ce qui a conduit à la mise en demeure de plusieurs sociétés et organismes.
Toujours très à cheval sur les questions de données personnelles, la Commission nationale de l'informatique et des libertés (CNIL) a annoncé, jeudi 27 août, avoir mis en demeure plusieurs organismes, à la fois publics et privés, de façon à ce que leur utilisation des badges photo entre en conformité avec le Règlement général sur la protection des données (RGPD).
Les contrôles de la CNIL ont confirmé les éléments dénoncés dans les différentes plaintes
Les badgeuses photo font partie intégrante, au sein de certains organismes et de certaines entreprises, du dispositif de contrôle d'accès par badge, qui parfois comprend donc une prise de photographie systématique à chaque pointage, ce qui permet notamment de vérifier le bon respect des horaires de travail.
En 2018, la CNIL avait justement reçu six plaintes dénonçant la mise en place de ces badgeuses photo dans les locaux d'organismes et entreprises. Les plaintes, qui provenaient de salariés et d'agents publics, ciblaient leur utilisation un peu trop poussée.
Le gendarme des données personnelles a alors décidé de mener plusieurs contrôles, entre mars et septembre 2019, pour donner de l'épaisseur à son enquête et, avant tout, pour confirmer la réelle utilisation des dispositifs.
L'utilisation des badgeuses photo doit respecter le principe de minimisation
La CNIL a indiqué que l'utilisation des badgeuses photo par les organismes et entreprises était contraire au principe dit « de minimisation », encadré par l'article 5 du RGPD. La commission a constaté que l'employé était systématiquement photographié, deux à quatre fois par jour, à chacun de ses pointages donc. Une collecte qu'elle juge « excessive ».
L'autorité administrative indépendante rappelle qu'il n'est pas nécessaire d'associer la photographie au système de pointage. « Les outils de gestion des horaires sans prise de photographie, tels que les pointeuses à badge classiques, apparaissent suffisants, sauf circonstances particulières et dûment étayées, pour remplir la finalité de contrôle des horaires de travail », indique-t-elle. Autre élément pointé du doigt par la CNIL : l'accès aux photographies quasi inexistant.
La CNIL a justifié ses propos en citant une jurisprudence établie par le Conseil d'État, plus haute autorité de l'ordre administratif, dans une décision du 15 décembre 2018 ; et la Cour de cassation, plus haute autorité de l'ordre judiciaire, dans une décision du 19 décembre 2018. Les deux cours ont jugé l'utilisation d'un tel dispositif licite « que lorsque ce contrôle ne peut pas être fait par un autre moyen, fût-il moins efficace ».
Les organismes et entreprises épinglés par la CNIL ont désormais l'obligation de conformer leurs dispositifs de contrôle des horaires au RGPD dans un délai de trois mois. À défaut, les parties ciblées risquent une sanction pécuniaire.
Source : CNIL
