Le pointage en entreprise est un outil essentiel pour suivre les horaires des salariés, qu’il s’agisse de leurs entrées, sorties ou pauses. Si les méthodes traditionnelles comme les badges ou les fiches papier restent courantes, des technologies plus avancées, comme la biométrie, gagnent du terrain. Cependant, leur usage est strictement régulé en France par le « Règlement Général sur la Protection des Données (RGPD) », adopté le 27 avril 2016 sous le numéro (UE) 2016/679, et par la loi n° 78-17 du 6 janvier 1978, dite « Informatique et Libertés », amendée en 2018 pour s’aligner sur ce règlement européen.
Qu’est-ce que le RGPD ?
C’est le cadre légal européen qui garantit la protection des données personnelles. Entré en vigueur le 25 mai 2018, il s’applique à toute entité traitant des données de résidents européens. Selon l’article 9, les données biométriques (empreintes digitales, reconnaissance faciale) sont considérées comme sensibles et nécessitent des mesures strictes. Le RGPD impose ainsi de recueillir un consentement préalable explicite (article 7), d’informer les individus de leurs droits – accès, rectification, opposition, suppression (articles 15 à 17 et 21) –, de sécuriser les systèmes (article 32), de garantir la confidentialité et de préciser la durée de conservation des données (article 13).
Dans le cadre du pointage, le RGPD limite fortement l’usage de la biométrie. La Commission Nationale de l’Informatique et des Libertés (CNIL) interdit son utilisation pour suivre le temps de travail, sauf exceptions justifiées par des besoins de sécurité exceptionnels, comme dans des secteurs sensibles. Cette règle s’appuie sur le principe de minimisation (article 5), qui exige de ne collecter que les données nécessaires. Un arrêt du Conseil d’État du 26 septembre 2012 (n° 349992) a ainsi rappelé que des solutions moins intrusives, comme des badges, doivent être privilégiées pour le pointage horaire.
En revanche, la biométrie est autorisée pour le contrôle d’accès aux locaux, par exemple pour sécuriser un site stratégique. Cela requiert une autorisation préalable de la CNIL (article 25 de la loi Informatique et Libertés) et une justification claire de sa nécessité. L’employeur doit informer les salariés des finalités du traitement et de leurs droits, tout en respectant des délais stricts pour répondre à leurs demandes (article 12).
Le responsable du traitement, défini à l’article 4(7) du RGPD, est la personne ou l’entité qui décide des objectifs et des moyens du traitement des données dans l’entreprise. Souvent un dirigeant ou un délégué désigné, il joue un rôle clé en élaborant une stratégie pour assurer une protection efficace, conformément aux principes de « privacy by design » (article 25). Dans les grandes structures, plusieurs responsables peuvent coexister, à condition de coordonner leurs efforts. Leurs obligations incluent la tenue d’un registre des activités de traitement (article 30), la mise en place de mesures de sécurité, la coopération avec la CNIL (article 31) et le respect des droits des utilisateurs.
En cas de non-conformité, comme une fuite de données non signalée sous 72 heures (article 33), les sanctions peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (article 83). Le RGPD transforme ainsi le pointage en entreprise en un exercice d’équilibre entre gestion pratique et respect des droits fondamentaux, sous la surveillance rigoureuse des autorités.
