Badgeuse RGPD et pointeuse : le cadre légal 2026
Badgeuse RGPD et pointeuse : base légale, biométrie interdite par principe pour le pointage, durées de conservation, consultation CSE. Le cadre exact.
- À quoi sert une badgeuse, et ce qu’elle collecte
- Le cadre légal exact
- La base légale d’une pointeuse classique
- La biométrie : interdite par principe pour le pointage
- Conditions de mise en œuvre
- Badgeuse et contrôle d’accès : deux finalités distinctes
- Les droits des salariés
- Durées de conservation
- Faut-il inscrire la pointeuse au registre et réaliser une AIPD ?
- Sanctions
- Questions fréquentes
L’essentiel. Une badgeuse ou une pointeuse est licite pour gérer le temps de travail, sur le fondement de l’intérêt légitime de l’employeur, à condition d’informer les salariés (Art. L.1222-4), de consulter le CSE (Art. L.2312-38) et de limiter la conservation des données. En revanche, la biométrie (empreinte digitale, réseau veineux, reconnaissance faciale) est interdite par principe pour le simple pointage : le règlement type de la CNIL n’autorise le contrôle biométrique que dans des conditions strictes de nécessité, que la gestion des horaires ne remplit jamais.
Le pointage est un traitement banal — presque toutes les entreprises en ont un — et pourtant l’un des plus mal maîtrisés au regard du RGPD. Deux erreurs reviennent systématiquement dans mes audits : la tentation de la biométrie « parce que c’est pratique et infalsifiable », et la conservation illimitée des données de badgeage. La première est une faute lourde, la seconde un manquement au principe de limitation de la conservation. Voici le cadre exact d’un dispositif de gestion des horaires conforme.
À quoi sert une badgeuse, et ce qu’elle collecte
Une badgeuse enregistre les heures d’entrée et de sortie des salariés, à des fins de décompte du temps de travail, de gestion des absences, de calcul des heures supplémentaires et, in fine, d’établissement de la paie. Elle peut aussi servir au contrôle d’accès (ouvrir une porte). Ces deux finalités — gestion des horaires et contrôle d’accès — sont distinctes et doivent être traitées séparément dans le registre.
Les données collectées sont des données personnelles au sens de l’Art. 4(1) du RGPD : identifiant du salarié, horodatages, éventuellement zones d’accès. Tant que le dispositif repose sur un badge, une carte ou un code, il ne traite pas de données sensibles. Tout change dès qu’on introduit un élément biométrique.
Le cadre légal exact
Trois textes structurent le dispositif, auxquels s’ajoute le régime spécifique de la biométrie.
Le RGPD exige une base légale (Art. 6) et le respect des principes de l’Art. 5 : finalité déterminée, minimisation, limitation de la conservation. Pour la biométrie, l’Art. 9 s’ajoute et interdit par principe le traitement, sauf exception.
L’article L.1121-1 du Code du travail impose la proportionnalité : le dispositif ne doit pas apporter aux libertés des salariés de restriction non justifiée ni disproportionnée. C’est le fondement qui fait tomber la biométrie pour un simple pointage.
L’article L.1222-4 du Code du travail impose l’information préalable des salariés : aucune donnée ne peut être collectée par un dispositif qui ne leur a pas été porté à connaissance.
L’article L.2312-38 du Code du travail impose la consultation du CSE avant la mise en œuvre d’un moyen de contrôle de l’activité.
La base légale d’une pointeuse classique
Pour une badgeuse à carte ou à code, la base légale habituelle est l’intérêt légitime de l’employeur (Art. 6(1)(f)) : gérer le temps de travail, calculer la rémunération et respecter la réglementation sur la durée du travail sont des objectifs légitimes. Un test de mise en balance doit néanmoins être documenté.
Dans certains cas, l’obligation légale (Art. 6(1)©) peut fonder tout ou partie du traitement, notamment lorsqu’un décompte précis du temps de travail découle d’une obligation réglementaire ou conventionnelle. Le consentement, en revanche, n’est jamais une base valable en contexte salarié : le lien de subordination vicie sa liberté. Pour approfondir le choix du fondement, voir le guide sur la base légale RGPD.
La biométrie : interdite par principe pour le pointage
C’est le point le plus important et le plus mal compris. Les données biométriques (empreinte digitale, réseau veineux, contour de la main, reconnaissance faciale) sont des données sensibles au sens de l’Art. 9 du RGPD, dont le traitement est interdit par principe.
Pour encadrer les rares cas où la biométrie est admise sur les lieux de travail, la CNIL a adopté en 2019 un règlement type relatif au contrôle d’accès biométrique. Ce texte pose une exigence de nécessité stricte : l’employeur doit démontrer que le recours à la biométrie est indispensable, qu’aucun dispositif moins intrusif (badge, code) ne permet d’atteindre le même objectif de sécurité, et que le contexte présente un risque particulier justifiant ce niveau de protection (accès à des zones dangereuses, à des matières sensibles, à des données hautement confidentielles).
Or la gestion des horaires ne remplit jamais cette condition : un badge suffit parfaitement à identifier un salarié pour le décompte de son temps de travail. Recourir à l’empreinte digitale « pour éviter la fraude au pointage » ou « parce que c’est plus commode » est donc disproportionné et illicite. La CNIL a sanctionné à plusieurs reprises des employeurs utilisant la biométrie pour un simple contrôle horaire.
| Usage | Biométrie admise ? |
|---|---|
| Pointage / gestion du temps de travail | Non, disproportionné par principe |
| Contrôle d’accès à une zone à risque élevé | Oui, sous conditions strictes du règlement type |
| Remplacement du badge « pour plus de simplicité » | Non |
| Accès à des matières dangereuses ou classifiées | Possible, avec AIPD et nécessité démontrée |
Lorsque la biométrie est exceptionnellement justifiée pour un contrôle d’accès, elle impose le respect du règlement type, une analyse d’impact (AIPD) et, en général, une conservation du gabarit biométrique sur un support individuel maîtrisé par le salarié plutôt que dans une base centralisée.
Conditions de mise en œuvre
Trois obligations concrètes s’appliquent à tout dispositif de pointage.
Informer les salariés. Avant la mise en service, chaque salarié doit être informé de l’existence de la pointeuse, de sa finalité, des données collectées, de leur durée de conservation et de ses droits, conformément à l’Art. L.1222-4 et à l’Art. 13 du RGPD. Un modèle d’information des salariés et une charte informatique formalisent cette transparence, dans le respect des bonnes pratiques de l’article 12.
Consulter le CSE. La pointeuse permet un contrôle de l’activité : sa mise en œuvre suppose une information-consultation préalable du CSE (Art. L.2312-38). Le procès-verbal est une pièce à conserver.
Limiter l’accès et sécuriser. Seules les personnes habilitées (service RH, paie) doivent accéder aux données de badgeage. Les accès doivent être nominatifs et tracés.
Badgeuse et contrôle d’accès : deux finalités distinctes
Une même carte sert souvent à deux choses : pointer et ouvrir des portes. Ce sont pourtant deux traitements différents, avec des finalités, des durées et parfois des bases légales distinctes, qui doivent être décrits séparément au registre.
La gestion du temps de travail poursuit une finalité de décompte des horaires et de préparation de la paie. Les données d’horodatage servent à établir la rémunération et à vérifier le respect de la durée du travail.
Le contrôle d’accès poursuit une finalité de sécurité : réserver l’accès à certaines zones aux personnes habilitées. Les données de passage servent à savoir qui a franchi tel point, à quelle heure, essentiellement en cas d’incident.
Confondre les deux conduit à des dérives fréquentes : utiliser les logs de porte pour surveiller les allées et venues d’un salarié, ou conserver les données d’accès aussi longtemps que celles de la paie. Chaque finalité doit rester dans son couloir, avec sa propre durée de conservation, et l’exploitation des données d’accès pour contrôler l’assiduité doit être proscrite si elle n’a pas été prévue et annoncée.
Les droits des salariés
Le salarié dont les horaires sont enregistrés dispose des droits garantis par le RGPD, en particulier le droit d’accès à ses données de badgeage et le droit de rectification en cas d’erreur d’horodatage. Ces droits ont une portée très concrète : un salarié peut demander le détail de ses pointages pour vérifier le décompte de ses heures supplémentaires. L’employeur doit être en mesure de répondre, ce qui suppose des données fiables, correctement horodatées et accessibles aux seules personnes habilitées. La transparence sur le fonctionnement du dispositif — via la note d’information et, le cas échéant, une charte informatique — est aussi un facteur de confiance et de paix sociale.
Durées de conservation
Les données de pointage n’ont pas toutes la même durée de vie. Il faut distinguer l’exploitation courante, l’archivage lié à la paie et la suppression.
| Donnée | Durée de conservation | Justification |
|---|---|---|
| Données de badgeage (exploitation courante) | Quelques semaines à quelques mois | Contrôle et régularisation |
| Éléments de décompte reportés sur la paie | 5 ans | Obligations liées aux bulletins de paie |
| Données d’accès (sécurité) | 3 mois en principe | Doctrine CNIL contrôle d’accès |
| Gabarit biométrique (si admis) | Durée de l’habilitation, puis suppression | Nécessité |
La règle : les données de pointage brutes se conservent le temps nécessaire au contrôle et aux régularisations, tandis que les éléments intégrés à la paie suivent le régime de conservation des bulletins de paie (cinq ans). Au terme de l’habilitation d’un salarié, les données d’accès et tout éventuel gabarit biométrique doivent être supprimés. L’ensemble des durées applicables figure dans le tableau des durées de conservation, dans le respect du principe de minimisation.
Faut-il inscrire la pointeuse au registre et réaliser une AIPD ?
Le traitement doit figurer au registre des activités de traitement. Une AIPD n’est pas obligatoire pour une badgeuse classique à badge, mais elle devient incontournable dès qu’un dispositif biométrique est envisagé, ou lorsque le pointage s’intègre dans un système de surveillance plus large. Cette logique est cohérente avec celle des autres dispositifs de suivi des salariés, comme la géolocalisation des véhicules ou la vidéosurveillance en entreprise. Structurer registre, AIPD et durées de conservation est précisément ce que des outils comme Legiscope permettent d’automatiser.
Sanctions
Un dispositif de pointage non conforme expose à deux risques. Côté CNIL, l’usage injustifié de la biométrie et la conservation excessive des données font l’objet de sanctions régulières ; les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires mondial (Art. 83). Côté prud’hommes, un décompte du temps de travail issu d’un dispositif non déclaré au CSE ou dont les salariés n’étaient pas informés peut être contesté. Le message est constant : un pointage conforme est fiable et opposable ; un pointage biométrique injustifié est un risque juridique sans contrepartie.
Questions fréquentes
Puis-je utiliser une pointeuse à empreinte digitale ?
Non par principe. L’empreinte digitale est une donnée biométrique sensible au sens de l’Art. 9 du RGPD. Le règlement type de la CNIL de 2019 n’autorise le contrôle biométrique que lorsqu’il est strictement nécessaire, ce que la simple gestion des horaires ne justifie jamais : un badge suffit. Utiliser l’empreinte pour pointer est donc disproportionné et illicite, et a déjà été sanctionné par la CNIL.
Quelle est la base légale d’une badgeuse classique ?
L’intérêt légitime de l’employeur (Art. 6(1)(f)) : gérer le temps de travail, calculer la paie et respecter la réglementation sur la durée du travail. Un test de mise en balance doit être documenté. Le consentement n’est pas valable en raison du lien de subordination. Selon les cas, une obligation légale (Art. 6(1)©) peut compléter le fondement.
Combien de temps puis-je conserver les données de pointage ?
Les données brutes se conservent le temps nécessaire au contrôle et aux régularisations, soit quelques semaines à quelques mois. Les éléments reportés sur la paie suivent le régime des bulletins de paie, soit cinq ans. Les données de contrôle d’accès se conservent en principe trois mois. Au-delà, elles doivent être supprimées.
Dois-je consulter le CSE avant d’installer une pointeuse ?
Oui. La pointeuse permet un contrôle de l’activité des salariés : sa mise en œuvre suppose une information-consultation préalable du CSE (Art. L.2312-38). La consultation doit intervenir avant la mise en service, et son procès-verbal doit être conservé dans le dossier de conformité.
Une AIPD est-elle nécessaire pour une badgeuse ?
Pas pour une badgeuse classique à badge ou à code. En revanche, une AIPD devient obligatoire dès qu’un dispositif biométrique est envisagé, ou lorsque le pointage s’intègre dans un système de surveillance plus large. L’analyse de la nécessité doit dans tous les cas être documentée.
Puis-je exiger le consentement des salariés pour la biométrie ?
Non. En contexte salarié, le consentement n’est pas libre à cause du lien de subordination : il ne peut donc pas légitimer un traitement biométrique. La biométrie ne peut reposer que sur la démonstration d’une nécessité stricte au sens du règlement type de la CNIL, et jamais sur l’accord des intéressés.