RGPD et dispositif d’accès par badge : mesures pratiques

De nombreuses entreprises, la vôtre peut-être, ont déjà mis ou mettront en place un système de suivi des entrées et sorties de leurs employés, voire des visiteurs. Un badge électronique donc. S’agit-il de contrôler les heures de présence ? de sécuriser l’accès aux locaux ? de garder des informations sur le passage de personnes non-membres du personnel ? Les trois à la fois ?

Dans tous les cas, cette pratique très commune devra se conformer aux règles du RGPD.

La CNIL a récemment présenté une illustration pratique des mesures d’information à mettre en place par les entreprises dans le cadre de ce dispositif (exemple à adapter à chaque situation). Un simple badge donc, mais un bel exemple d’application des principes du RGPD et de mise en oeuvre des obligations des entreprises en matière de protection des données personnelles.

1 – il faut informer les personnes concernées

Des informations personnelles sont collectées lors de chaque utilisation du badge (noms, heure, localisation, …). Votre entreprise doit dès lors informer préalablement les personnes concernées, en toute transparence, de l’existence de cette collecte d’informations.

Pour les visiteurs, la CNIL recommande 2 niveaux d’information :

Premier niveau, un panneau d’information affiché à proximité du dispositif de contrôle d’accès aux locaux de la société, par exemple :

“Afin de contrôler l’accès à nos locaux, nous demandons à nos visiteurs de se munir d’un badge en s’identifiant à l’accueil. Les données enregistrées dans ce dispositif d’accès aux locaux sont conservées pendant trois mois et sont accessibles au personnel en charge de la sécurité. Une notice d’information plus complète est à votre disposition à l’accueil. Pour exercer vos droits et pour toute information sur ce dispositif, contactez notre délégué à la protection des données (DPO) en écrivant à dpo@ …. ou à l’adresse postale suivante : …..”

Deuxième niveau, la mise à disposition d’une notice d’information plus complète relative à la gestion des données personnelles et aux droits des personnes lors de la délivrance de leur badge, laquelle devrait inclure :

• la finalité du traitement (système d’accès par badge pour contrôler l’accès aux locaux) et sa base légale (l’intérêt légitime)
• le type de données enregistrées sur les visiteurs : nom, prénom, société d’appartenance, nom du salarié ou de l’agent public accueillant le visiteur, date et heures d’entrée et de sortie
• les destinataires des données : personnel habilité de votre société en charge de la sécurité / personnel de la société en charge de la maintenance du matériel
• la durée de conservation :  trois mois à compter du jour de la visite
• les droits des personnes : possibilité d’accès aux données les concernant, de demander leur effacement, d’exercer un droit d’opposition, de rectification, de limitation du traitement des données en contactant le DPO ou les coordonnées précises permettant d’exercer ces droits

Pour les employés, un support unique peut être utilisé. Par exemple un courriel à l’attention de l’ensemble du personnel ou une notice fournie systématiquement lors de la signature du contrat de travail, laquelle devrait inclure le type de données enregistrées sur les employés de votre société : nom, prénom, numéro de matricule interne, service, photographie, numéro du badge, date de validité, date et heures d’entrée et de sortie, ainsi que l’ensemble des informations susvisées fournies aux visiteurs.

Selon la CNIL cette information devrait également figurer de manière permanente sous l’onglet « Accès par badge » de votre politique de protection des données / de votre intranet pour permettre aux salariés d’exercer leurs droits.

2 – il faut enregistrer le traitement de données personnelles

Dans votre registre des traitements, vous enregistrerez notamment les informations sur le traitement suivant :

• la mise en place d’un système (non biométrique si c’est le cas) d’accès par badge destiné au contrôle de l’accès aux locaux
• la base légale du traitement : l’intérêt légitime (cf. article 6.1.f du RGPD)
• les données enregistrées sur les employés / les visiteurs : nom, prénom, numéro de matricule interne, service, photographie, numéro du badge, date de validité, date et heures d’entrée et de sortie, société d’appartenance du visiteur, identité du salarié ayant accueilli le visiteur…
• les destinataires des données : les personnes habilitées du personnel / du service gérant la sécurité des locaux
• la durée de conservation des données : 3 mois

3 – il faut permettre aux personnes concernées d’exercer leurs droits

C’est à dire permettre aux employés et aux visiteurs d’accéder aux données traitées par le dispositif de contrôle d’accès, de demander leur effacement, d’exercer un droit d’opposition, de rectification et de limitation du traitement des données les concernant, en contactant le DPO ou les coordonnées précises permettant d’exercer ces droits.

4 – il faut gérer les problématiques de violation des données En cas d’incident de sécurité, d’origine malveillante ou non, pouvant compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles collectées dans le cadre du dispositif de contrôle d’accès, les obligations définies aux articles 33 et 34 du RGPD devront être respectées.