Le 25 mai 2018 le Règlement Général pour la Protection des Données, ou autrement dit RGPD a été mis en place pour tout ce qui concerne l’utilisation et le traitement des données à caractère personnel. Il est donc nécessaire de prendre en compte cette réglementation lorsque vous installez une pointeuse et/ou une badgeuse dans votre entreprise.
Le RGPD et l’installation d’une pointeuse/badgeuse
Que vous soyez une organisation publique ou privée, lorsque vous faites partie de l’Union Européenne vous devez respecter le RGPD dès que vous traitez les données personnelles de vos salariés. Pour ce faire il convient de respecter quelques règles :
1- Le respect de droits relatifs aux données personnelles.
2- La sécurité des données personnelles recueillies.
3- La mise en œuvre d’une politique de gestion responsable du traitement des données recueillies.
4- La nomination d’un interlocuteur unique au sein de l’organisation : le DPO (Data Protection Officer) ou Délégué à la Protection des Données.
5- Le droit de déposer une réclamation auprès de la CNIL (Commission Nationale de l’Informatique et des Libertés).
Il est donc nécessaire vous posez toutes ces questions avant d’installer un système de pointage horaires dans votre entreprise.
Pensez à remplir votre registre d’activités de traitement des données auprès de la CNIL
Avant d’installer votre système de gestion des temps et pour être en règle avec le RGPD il faudra effectuer une mise en conformité. Pour ce faire, il suffit de suivre le process ci-dessous :
Cliquez sur ce lien pour télécharger, sur le site de la CNIL, le Registre des Activités et une Fiche de Registre des Activités (format Word).
Remplissez les informations demandées.
Conservez ce document soit sous format électronique soit sous format papier. A noter que ces documents pourront vous être demandés en cas de contrôle de la CNIL.
Privacy by Design
Pour résumer, le Privacy by design c’est qu’en tant qu’entreprise votre devez intégrer le RGPD dans chaque action traitant des données personnelles que vous menez.
Ce que dit la loi et le règlement RGPD
Selon l’article 25.1, “Compte tenu de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques, dont le degré de probabilité et de gravité varie, que présente le traitement pour les droits et libertés des personnes physiques, le responsable du traitement met en œuvre, tant au moment de la détermination des moyens du traitement qu’au moment du traitement lui-même, des mesures techniques et organisationnelles appropriées, telles que la pseudonymisation, qui sont destinées à mettre en œuvre les principes relatifs à la protection des données, par exemple la minimisation des données, de façon effective et à assortir le traitement des garanties nécessaires afin de répondre aux exigences du présent règlement et de protéger les droits de la personne concernée.”
Pour respecter le RGPD, le logiciel Timekeys ses concentre exclusivement sur les nom et prénom des collaborateurs pour effectuer les pointages. Vous pouvez également opter pour des pseudonymes (que vous aurez choisi en interne) pour chacun de vos salariés pour anonymiser les données. Le fichier est sécurisé car il est installé sur un seul poste et il faut un statut administrateur avec identifiant et mot de passe pour accéder aux données de pointages.
Privacy by Default
Pour résumer le Privacy by default c’est d’imposer aux entreprises de paramétrer dès le départ leur produit avec le maximum de protection pour garantir une utilisation sécurisée aux utilisateurs et ainsi éviter les risques de récupération de données pour des fins autres que celles initialement prévues.
Ce que dit la loi et le RGPD
Selon l’article 25.2, “Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s’applique à la quantité de données à caractère personnel collectées, à l’étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l’intervention de la personne physique concernée.”
Exercice des droits relatifs aux données à caractère personnel
En France, il y a une durée légale à respecter concernant les données de contrôle d’accès et de pointages. En ce qui concerne les premières, elles doivent être supprimées au bout de trois mois d’enregistrement.
En ce qui concerne les secondes la durée de conservation est bien plus longue. En tant qu’entreprise il faut garder les données de pointages (présences, absences…) durant cinq ans.
Selon l’article 12, “Les personnes physiques ayant communiqué leurs données (salariés, clients) ont des droits sur leurs données. Elles peuvent consulter, rectifier, demander l’oubli de leurs données, etc.) L’organisation doit s’assurer de pouvoir respecter ces droits à tout moment et pour tous ces traitements et ce dans un délai d’un mois maximum”.
Droit d’accès (article 15) / Rectification (article 16). Les salariés doivent pouvoir obtenir une vue de leur pointage sur simple demande auprès du responsable de la solution Timekeys désigné au sein de votre structure.
Droit à l’oubli (article 17). Le salarié a le droit de demander une suppression des données collectées. Cette suppression doit être faite par un administrateur du logiciel.
Votre entreprise doit impérativement tenir à jour un registre des activités des données : article 30. Cliquez ici pour télécharger un exemplaire de Registre d’Activités.
Pour résumer
Pour résumer, les données de pointages que vous recueillez doivent être utilisées exclusivement pour la gestion des temps. En outre, pour sécuriser au maximum l’accès à ses données, il est conseillé de nommer un administrateur qui sera la seule habilité à récupérer les données de pointages des salariés. Bien entendu, il faut que chaque salarié puisse accéder à ses données de pointages.