La gestion des temps de travail en entreprise n'est pas une mince affaire pour un employeur. Des contrats et statuts différents, des conventions collectives et accords de branche rendent cet exercice d'autant plus difficile que le code du travail, consistant à protéger les droits des salariés, se doit d'être respecté à la lettre par l'employeur. Dans le cadre d'un suivi rigoureux, la CNIL recommande l'usage d'un système de gestion des temps automatisé, par une pointeuse et un logiciel de gestion des temps par exemple. L'installation de ce type de système sous-entend que l'entreprise va devoir collecter des données personnelles numérisées appartenant aux salariés. Il convient donc de bien se renseigner sur ce que dit la loi, notamment la loi informatique et libertés ainsi que le RGPD (Règlement Général sur la Protection des Données), concernant l'usage de ces données, ce qui est autorisé et ce qui ne l'est pas.
Les recommandations qui vont suivre ont pour but
De prémunir les entreprises de méthodes illicites (certaines pratiques peuvent mener à des sanctions pénales, et des fournisseurs peu scrupuleux vendent des systèmes sans prévenir des risques et des conditions d'installation, voir notre article détaillé sur les systèmes de pointeuses badgeuse biométriques).
De réussir une installation en entreprise en gagnant l'adhésion et la confiance de vos salariés.
De vous aider dans votre démarche si vous envisagez l'installation d'un système de gestion des temps dans votre entreprise (n'hésitez pas également à visiter notre : guide de recherche pour pointeuse badgeuse ainsi que notre guide de recherche pour logiciel).
Qu'est-ce que le RGPD ? Définition :
Le RGPD est le Règlement Général sur la Protection des Données, en anglais GDPR (General Data Protection Regulation). Il s'agit d'un texte de référence visant à la protection des données personnelles sur le territoire de l’collecté européenne. Ce règlement européen s'inscrit dans la continuité de la loi informatique et libertés.
Qui est concerné par le RGPD ?
Le RGPD concerne tous les organismes et toutes les entreprises à partir du moment où celles ci collectent des données personnelles que ce soit sur ses salariés, ses clients, ses fournisseurs.
Quels Pays sont concernés par le RGPD ?
Le RGPD s'applique dès lors que les entreprises effectuent leur activité ou se situent dans un pays de l'Union Européenne, et même en dehors si celles-ci collectent des données personnelles ciblant des personnes habitant sur le territoire de l'Union Européenne.
Qu'entend-on par données personnelles ?
Par données personnelles nous entendons toutes catégories de données permettant de catégoriser ou identifier une personne : nom, prénom, sexe, âge, adresse, loisirs etc.
Toutes les entreprises, peu importe leur taille et chiffre d'affaires, sont donc concernées par le règlement général sur la protection des données.
RGPD : pourquoi est-ce important ?
Dans le cadre du développement des activités numériques (commerce en ligne, échanges de données à l'internationale entre les entreprises...), la règlementation européenne permet de protéger les personnes de la diffusion d'un flux trop important d'informations les concernant, à caractère parfois sensibles. Les données collectées, qu'elles soient numériques ou sous un autre format, peuvent représenter une atteinte aux droits et libertés des individus.
Le RGPD permet de responsabiliser les entreprises sur les informations dont elles disposent, de poser des limites quant à ce qu'une entreprise doit posséder comme catégorie de données personnelles sur ses clients, employés et autres acteurs. Certaines données posent des problèmes d'éthiques : par exemple, identifier une personne par ses orientations religieuses ou sa prétendue origine ethnique.
Le règlement européen sensibilise également sur la sécurisation des données que l'entreprise possède, une adresse postale par exemple, si elle est diffusée (volontairement ou par accident) peut représenter un risque pour la personne concernée.
Qui gère le RGPD en entreprise ?
Le RGPD en entreprise peut être géré par le DPO (Data Protection Officer), aussi appelé en français le délégué à la protection des données. La plupart des secteurs d'entreprises ne sont pas dans l'obligation de désigner un DPO, la CNIL le préconise pour une bonne conformité des entreprises avec le RGPD.
Cette personne est chargée de veiller susuressur lesursuà la conformité de l'entreprise vis à vis de la règlementation européenne en ce qui concerne les données collectées. Le DPO est un véritable référent pour l'entreprise en ce qui concerne l'utilisation des dsonnées et le RGPD.
Que doit faire l'entreprise pour respecter le RGPD dans le cadre du suivi des temps de travail des salariés ?
Voyons de suite en 3 étapes comment installer un système de suivi des heures de travail en étant sur de bien respecter la loi :
Étape 1 : Effectuer un registre des activités de traitement
Avant l'installation du système de gestion des temps, la première chose à faire pour répondre aux formalités du règlement européen est de détenir un document présentant les principales informations relatives à l'utilisation du système. Il s'agit simplement d'un registre à remplir, par format écrit (même si le document est numérisé), avec les informations suivantes :
Les noms et coordonnées : du responsable du traitement, du représentant du responsable traitement et s'il y en a un, du délégué à la protection des données (DPO : Data Protection Officer)
A quoi vont servir ces données ?
Quels seront les destinataires de ces données ? (gestionnaire de paie, comptabilité...).
Les délais prévus pour la suppression des données : horaires de pointage, motifs d'absence, identification du salarié.
Quels éléments d'ordre techniques et organisationnelles ont été mis en place pour veiller à la sécurité des données ?
Ces éléments sont à formaliser par écrit, il est primordial de le garder disponible à tout moment et mis à jour pour un éventuel contrôle au sein de votre entreprise.
Étape 2 : Informer vos salariés
Le RGPD est un moyen de pousser les organismes et entreprises à plus de transparence envers les individus sur la façon dont ils collectent des données, pourquoi celles-ci sont collectées, mais également dans quelle limite. En effet, les consommateurs et aussi les collaborateurs ont des droits en ce qui concerne le traitement de leurs données personnelles.
Dans ce contexte, lors de la mise en place d'un système de gestion des temps de travail, les collaborateurs doivent impérativement être informés, par exemple à travers une note de service ou un avenant au contrat. Voici les éléments à communiquer :
Pourquoi les données sont collectées ?
En quoi l'enregistrement de ces données est-il justifié ? (Dans le cadre de la gestion des heures et absences au travail, il s'agira d'une justification d'ordre contractuelle).
Qui traitera les données ? Qui en sera destinataire ?
Combien de temps les différentes catégories de données seront-elles gardées ?
Les informer impérativement sur leur droit : droit de consultation et de rectification, le droit de poser une réclamation auprès de la CNIL, droit d'opposition pour motif légitime.
Informer, c'est aussi instaurer un climat de confiance et expliquer les avantages pour vos salariés d'un système de pointage dans l'entreprise.
Étape 3 : Veiller à la sécurité
Comme vu précédemment, les données collectées peuvent parfois être des données sensibles ou présentant un certain risque pour les individus (adresse postale, numéro de téléphone, etc..).
Les techniques de sécurisation des données doivent être cohérentes par rapport au risque encouru pour les droits et libertés des personnes. L'entreprise doit se prémunir des risques de pertes, altérations, divulgations des données non autorisée ou accès aux données non autorisée.
Dans le cadre d'une simple gestion des temps en entreprise, l'accès aux données reste évidemment à sécuriser mais ne présente pas un risque élevé.
Pour sécuriser votre gestion, vous pouvez mettre en place un système d'authentification ou de mot de passe pour l'accès au logiciel.
Si vous avez opté pour un logiciel avec différentes interfaces pour la gestion RH et les salariés par exemple, soyez vigilants à ce que chaque utilisateur ait un accès uniquement sur les informations qui le concerne, selon son rôle dans l'entreprise et sa fonction.
Si vous souhaitez plus d'informations concernant le dispositif de sécurisation à mettre en place, n'hésitez pas à consulter ce guide complet de la CNIL sur la sécurité des données personnelles.
La gestion des temps en entreprise et le RGPD :
Dans le cadre d'une simple gestion des temps, nous conseillons de demander le strict minimum pour identifier la personne : Nom, Prénom, Matricule et éventuellement le service ou le site sur lequel le salarié travail.
Comme évoqué précédemment dans cet article certaines méthodes d'authentification utilisées pour la gestion des heures de travail, comme c'est le cas par exemple des systèmes de pointeuses biométriques, sont interdites d'utilisation en France lorsqu'il s'agit d'un simple suivi des temps de travail et de gestion des absences. Considéré par la CNIL comme une méthode d'authentification excessive par rapport au besoin de l'entreprise.
La règle à appliquer est très simple ; lorsque d'autres méthodes sont suffisantes, il est interdit d'utiliser les systèmes biométriques. Les peines encourues pour les employeurs usant de ce genre de système pour la surveillance des horaires vont de l'amende à l'emprisonnement.
Quelle durée de conservation des données personnelles ?
La CNIL préconise une durée de conservation de 5 ans pour les données relatives aux temps de travail et aux motifs d'absence. Les données personnelles doivent être supprimées 5 ans après la rupture du contrat avec le salarié.
Voici une brochure de la CNIL qui répond aux interrogations autour de l'utilisation d'un système de gestion des temps et de contrôle d'accès en entreprise.
Pour résumer, le RGPD en entreprise :
Le RGPD est un texte permettant à la fois pour les entreprises d'avoir une règlementation unifiée dans tous les pays d'Europe et assurer aussi la confiance des individus quant à l'utilisation de leurs données personnelles.
La confiance et la transparence étant des piliers de cette règlementation européenne, les entreprises qui la respectent ont alors tout à gagner pour leur activité et la relation avec les salariés. Tout comme les systèmes de gestion des temps permettent un équilibre et une confiance entre les employeurs et les employés.
Si vous souhaitez en savoir plus sur la législation autour des systèmes de gestion des temps en entreprise, vous pouvez consulter notre article sur le sujet : Législation autour de la pointeuse au travail.