Protection des données CNIL et RGPD

Protection-des-données-CNIL-et-RGPD

Obligations de protection de données personnelles :

Les entreprises sont tenues de respecter les obligations du GRPD et de garantir la protection des données en tenant une documentation spécifique régulièrement mise à jour.

Les entreprises ne sont tenues de faire aucune déclaration quelle qu’elle soit auprès de la CNIL dans le cadre de l’installation d’un dispositif de contrôle d’accès et de gestion des temps. La réalisation d’un ensemble de déclarations est toutefois indispensable si l’entreprise souhaite :

  • soumettre à la CNIL une AIPD ou une analyse d’impact relative à la protection des données ;
  • modifier une désignation ou choisir un nouveau DPO ou délégué à la protection des données ;
  • notifier un cas de violation de données personnelles ;
  • transférer des données personnelles vers des destinations considérées comme de confiance ;
  • justifier le traitement de données dites sensibles.

A propos des systèmes biométriques

En France, le contrôle des horaires des salariés via un dispositif biométrique est illégal. L’installation de ce type de système reste néanmoins possible mais dans le respect de conditions strictes.

Informations des salariés :

L’installation d’un dispositif de contrôle d’accès et/ou de gestion des horaires ne peut être faite qu’après consultation et obtention d’autorisation de la part des instances représentant le personnel au sein de l’entreprise. Chaque salarié doit également être informé sur :

  • Les finalités recherchées par la mise en place dudit dispositif ;
  • Le mode de fonctionnement du système ;
  • Leur droit à s’opposer à l’installation du système en présentant une justification légitime.
  • Leur droit d’accès au système ;
  • Les destinataires des informations et l’utilisation des données gérées par le système de contrôle horaire ;

Pour informer les salariés sur la mise en place du système et leurs droits, l’entreprise peut simplement leurs envoyer une note de service.

Articles de référence du Code du travail :

Article L. 1121-1 (droits et libertés dans l’entreprise)

Article L. 1222-3 et L. 1222-4 (information des employés)

Article L. 2323-32 (information/consultation du CSE)

Les données relatives au contrôle d’accès, récoltées grâce à l’utilisation du dispositif peuvent être conservées pendant 3 ans. Celles portant sur la gestion des temps sont conservables jusqu’à 5 ans.

Pour retrouver toutes les informations et les dispositions réglementaires, y compris le référentiel inhérent aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel, rendez-vous directement sur le site de la CNIL :
https://www.cnil.fr/sites/default/files/atoms/files/referentiel_grh_novembre_2019_0.pdf