Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Jeudi 2 juillet 2026
RGPD

RGPD BTP construction : obligations et guide 2026

RGPD dans le BTP : badges chantier, intérimaires, carte BTP, sous-traitance en cascade. Bases légales, durées, DPO et contrôles CNIL.

L’essentiel. Le BTP concentre un enjeu RGPD trop souvent ignoré : la donnée personnelle des travailleurs sur chantier. Badges d’accès, pointage biométrique, carte BTP, contrôle des intérimaires et cascade de sous-traitants font circuler des données d’identité et de présence entre de multiples acteurs. La biométrie relève de l’Art. 9 et est strictement encadrée. La sous-traitance en cascade, propre au secteur, brouille la répartition des responsabilités et impose une cartographie rigoureuse des flux. La proportionnalité des dispositifs de contrôle d’accès est le point de vigilance central.

Un chantier de construction met en présence, sur un même site, les salariés de l’entreprise principale, des intérimaires, les équipes de plusieurs sous-traitants en cascade, parfois des travailleurs détachés. Contrôler qui accède au chantier, tracer les présences, vérifier les cartes professionnelles : ces exigences légitimes — sécurité, lutte contre le travail illégal, obligations d’assurance — génèrent un volume important de données personnelles sur des travailleurs. Le BTP, longtemps resté à l’écart des réflexions RGPD, est désormais exposé, d’autant que les dispositifs de contrôle d’accès se généralisent. Voici le cadre applicable et les erreurs à éviter.

Les traitements typiques du secteur

Traitement Base légale Durée de conservation
Badges d’accès au chantier Intérêt légitime (Art. 6(1)(f)) Durée du chantier + purge
Pointage et suivi des présences Obligation légale / intérêt légitime 5 ans (obligations sociales)
Carte BTP (identification professionnelle) Obligation légale (Art. 6(1)©) Durée de validité de la carte
Gestion des intérimaires Contrat + obligation légale 5 ans après mission
Gestion des sous-traitants et détachés Obligation légale (Art. 6(1)©) Selon obligations légales
Contrôle biométrique d’accès (le cas échéant) Voir Art. 9 — encadrement strict Purge après usage
Gestion des salariés (paie, contrats) Contrat + obligation légale 5 ans après départ
Vidéosurveillance du chantier Intérêt légitime (Art. 6(1)(f)) 1 mois maximum

Le contrôle d’accès et le suivi des présences reposent le plus souvent sur l’intérêt légitime (sécurité du site, lutte contre le travail dissimulé) ou sur des obligations légales sociales. La carte BTP, obligatoire pour les salariés du secteur, relève d’une obligation légale.

La carte BTP et le contrôle des présences

La carte d’identification professionnelle du BTP (carte BTP), délivrée par l’Union des caisses de France (UCF CIBTP), est obligatoire pour tout salarié effectuant des travaux de bâtiment ou de travaux publics. Elle contient des données d’identification et une photographie. Sa gestion par l’entreprise constitue un traitement de données personnelles à intégrer au registre.

Le point de vigilance : la carte BTP ne doit pas être détournée de sa finalité. Les données qu’elle contient servent à l’identification et à la lutte contre le travail illégal, pas à un contrôle managérial élargi des salariés. Le principe de minimisation impose de ne conserver que ce qui est nécessaire.

Le contrôle des présences sur chantier — badges, pointeuses, registres d’accès — obéit aux règles applicables au contrôle du temps de travail. Il doit être proportionné, les salariés doivent être informés (Art. 13) et le comité social et économique (CSE) consulté préalablement à la mise en place du dispositif. Les données de présence sont conservées le temps nécessaire aux obligations sociales, généralement cinq ans.

Biométrie sur chantier : la ligne rouge

Certains chantiers déploient des dispositifs de contrôle d’accès biométriques (empreinte, reconnaissance). C’est le point le plus délicat du secteur. Les données biométriques utilisées pour identifier une personne de manière unique sont des données sensibles au sens de l’Art. 9. Leur traitement est en principe interdit, sauf exception de l’Art. 9(2).

Dans le contexte du travail, l’exception du consentement est fragile — le lien de subordination fait douter de la liberté du consentement du salarié. Le recours à la biométrie sur chantier suppose donc de démontrer :

  • qu’aucun dispositif moins intrusif (badge, code) ne permet d’atteindre la finalité ;
  • que le dispositif est strictement proportionné ;
  • qu’une analyse d’impact (AIPD) au titre de l’Art. 35 a été réalisée — elle est obligatoire pour tout traitement biométrique de contrôle d’accès sur le lieu de travail.

En pratique, la CNIL admet difficilement la biométrie pour un simple contrôle d’accès de chantier lorsqu’un badge suffit. La prudence commande de privilégier le badge et de réserver la biométrie aux situations exceptionnelles dûment justifiées.

La sous-traitance en cascade : le nœud du secteur

C’est la spécificité structurante du BTP. Sur un chantier, l’entreprise principale confie des lots à des sous-traitants, qui sous-traitent eux-mêmes à d’autres, sur plusieurs niveaux. Les données des travailleurs (identité, carte BTP, présences, habilitations) circulent entre tous ces acteurs. La question RGPD est : qui est quoi ?

Deux situations à distinguer :

Chaque entreprise est responsable de traitement pour ses propres salariés. L’entreprise de gros œuvre est responsable des données de ses salariés ; le sous-traitant de plomberie est responsable des données des siens. Lorsqu’elles échangent des données (par exemple, la liste des travailleurs présents sur le chantier pour des raisons de sécurité), il s’agit d’un échange entre responsables de traitement distincts, à encadrer et à documenter.

Certains prestataires sont sous-traitants au sens RGPD. Le prestataire qui gère la plateforme de badges pour le compte de l’entreprise principale est un sous-traitant au sens RGPD, lié par un contrat conforme à l’Art. 28 du RGPD. Attention : la « sous-traitance » au sens du BTP (sous-traitance de travaux) n’est pas la « sous-traitance » au sens du RGPD (traitement de données pour le compte d’autrui). Les deux notions se recoupent parfois, jamais automatiquement.

La cartographie de ces flux — qui transmet quelles données à qui, sous quelle qualification — est le premier livrable d’un audit RGPD sur un chantier d’envergure. Sans elle, la répartition des responsabilités reste floue et les obligations d’information mal assumées.

Intérimaires et travailleurs détachés

Les intérimaires posent une question de responsabilité partagée entre l’entreprise de travail temporaire (ETT) et l’entreprise utilisatrice. L’ETT gère le contrat de mission et la paie ; l’entreprise utilisatrice gère la présence sur chantier et la sécurité. Chacune est responsable de traitement pour sa part, et les échanges de données doivent être limités au nécessaire.

Les travailleurs détachés génèrent des obligations déclaratives (déclaration de détachement) qui impliquent le traitement de données d’identité. Ces traitements reposent sur une obligation légale et obéissent à une logique de minimisation : ne collecter que ce qu’exige la réglementation.

En amont du chantier, les données des acquéreurs et maîtres d’ouvrage traitées par les promoteurs et agents relèvent d’une autre logique, détaillée dans notre guide sur le RGPD en immobilier.

Faut-il désigner un DPO ?

L’Art. 37 impose un DPO en cas de traitement à grande échelle de données sensibles ou de suivi systématique à grande échelle. Une entreprise de BTP classique, sans biométrie et sans suivi systématique à grande échelle, n’est généralement pas soumise à l’obligation.

En revanche, un grand groupe de construction opérant du contrôle d’accès biométrique, ou un suivi systématique des présences sur de très nombreux chantiers, peut relever de l’obligation. Au-delà du seuil légal, la désignation d’un DPO est recommandée dès qu’une entreprise atteint une taille et une complexité significatives. Le DPO externalisé est une solution adaptée à un secteur peu doté en compétences juridiques internes.

Les sous-traitants RGPD de l’entreprise

Outre les sous-traitants de travaux, l’entreprise de BTP fait appel à des prestataires qui traitent des données pour son compte — sous-traitants au sens de l’Art. 28 :

  • Éditeur de la plateforme de gestion des badges et du contrôle d’accès
  • Prestataire de pointage et de suivi des présences
  • Éditeur du logiciel de paie et de gestion RH
  • Prestataire de vidéosurveillance de chantier
  • Hébergeur cloud et prestataire de sauvegarde
  • Agences d’intérim (échanges de données à qualifier au cas par cas)

Chaque prestataire ayant accès aux données doit être lié par un contrat Art. 28 et, pour les intervenants ponctuels, par une clause de confidentialité. Pour organiser et suivre ces contrats de sous-traitance sur des chantiers multiples, Legiscope permet de centraliser les DPA et de cartographier les flux de données entre l’entreprise principale, ses sous-traitants et ses prestataires.

Sécurité et contrôles CNIL

L’Art. 32 impose des mesures adaptées : gestion des habilitations d’accès aux plateformes de badges, chiffrement des données de présence, purge des badges à la fin du chantier, traçabilité des consultations, authentification forte sur les outils RH, procédure de gestion des accès lors des fins de mission.

Les points susceptibles d’être examinés par la CNIL dans le secteur sont généralement :

  1. La proportionnalité des dispositifs de contrôle d’accès et de présence
  2. Le respect de l’interdiction de principe de la biométrie sans AIPD ni justification
  3. L’information des travailleurs (Art. 13) et la consultation du CSE
  4. La qualification et la documentation des flux dans la sous-traitance en cascade
  5. Les durées de conservation des badges et des données de présence
  6. Les contrats Art. 28 avec les prestataires de badges et de pointage

Pour le cadre général des contrôles, voir notre dossier CNIL.

Checklist de conformité BTP

  • [ ] Registre des traitements incluant badges, présences, carte BTP et intérimaires
  • [ ] Dispositifs de contrôle d’accès proportionnés (privilégier le badge à la biométrie)
  • [ ] AIPD réalisée pour tout dispositif biométrique de contrôle d’accès
  • [ ] Information des travailleurs (Art. 13) et consultation du CSE
  • [ ] Cartographie des flux de données dans la sous-traitance en cascade
  • [ ] Qualification des échanges de données avec les ETT et les sous-traitants de travaux
  • [ ] Durées de conservation documentées — voir le tableau des durées
  • [ ] Purge des badges et des accès à la fin de chaque chantier
  • [ ] Contrats Art. 28 avec les prestataires de badges, de pointage et de vidéosurveillance
  • [ ] DPO désigné en cas de biométrie ou de suivi systématique à grande échelle
  • [ ] Procédure de notification des violations opérationnelle

FAQ

Peut-on installer un contrôle d’accès biométrique sur un chantier ?

Difficilement. Les données biométriques sont des données sensibles (Art. 9), dont le traitement est interdit par principe. Sur le lieu de travail, le consentement du salarié est fragile en raison du lien de subordination. Le recours à la biométrie suppose de démontrer qu’aucun badge ne suffit, une stricte proportionnalité et une AIPD obligatoire. En pratique, la CNIL admet rarement la biométrie quand un badge fait l’affaire.

Comment répartir les responsabilités RGPD dans une sous-traitance en cascade ?

Chaque entreprise est responsable de traitement pour les données de ses propres salariés. Les échanges de données entre entreprises (listes de présents, habilitations) sont des transmissions entre responsables distincts, à encadrer. Les prestataires qui traitent des données pour le compte d’une entreprise (plateforme de badges) sont des sous-traitants au sens de l’Art. 28. La sous-traitance de travaux n’équivaut pas à la sous-traitance de données.

Combien de temps conserver les données de badge et de présence ?

Les badges d’accès sont purgés à la fin du chantier. Les données de présence liées aux obligations sociales sont généralement conservées cinq ans. Chaque durée doit être justifiée et documentée dans le tableau des durées de conservation, avec une purge effective à échéance.

La carte BTP est-elle un traitement de données à déclarer ?

La carte BTP est obligatoire et sa gestion par l’entreprise constitue un traitement à inscrire au registre. Elle repose sur une obligation légale (lutte contre le travail illégal). Ses données ne doivent pas être détournées vers un contrôle managérial élargi : le principe de finalité et la minimisation s’appliquent.

Une entreprise de BTP doit-elle désigner un DPO ?

Pas systématiquement. Une entreprise classique, sans biométrie ni suivi systématique à grande échelle, n’y est généralement pas tenue. Un grand groupe opérant du contrôle biométrique ou un suivi des présences sur de très nombreux chantiers peut relever de l’obligation (Art. 37). Au-delà du seuil, le DPO est recommandé, souvent sous forme de DPO externalisé.

Qui est responsable des données des intérimaires sur le chantier ?

La responsabilité est partagée. L’entreprise de travail temporaire est responsable du contrat de mission et de la paie ; l’entreprise utilisatrice est responsable de la gestion de la présence et de la sécurité sur le chantier. Chacune est responsable de traitement pour sa part, et les échanges de données doivent être limités au strict nécessaire selon le principe de minimisation.