Que peut collecter l’entreprise lorsqu’elle met en place un accès par badge ?
Dans une entreprise de près de 300 personnes, l’accès se fait au moyen d’un badge.
Un employé reçoit souvent des remarques acerbes de ses collègues sur ses maladies du lundi matin. Il est très étonné, car s’il est vrai qu’il a manqué à réitérées reprises, il n’en a jamais indiqué la cause à ses collègues.
Pour en avoir le cœur net, il s’adresse aux ressources humaines et demande quelles sont les données collectées lorsque la personne badge. Il apprend alors qu’en plus de l’indication si la personne est sur le site ou non, et à quelle heure elle y arrive et en repart, les indications sur les absences et leur cause, maladie ou congé, sont non seulement collectées mais également accessibles par l’ensemble des salariés qui accèdent librement à l’application utilisée par les RH.
Les ressources humaines justifient cette collecte étendue de données par le fait que le site comporte des dangers pour la santé des travailleurs et qu’ils sont donc tenus de savoir précisément où ils sont et quand. Les RH ne peuvent toutefois justifier l’indication de la raison de l’absence, ni surtout l’accessibilité de ces données à tout le personnel.
Le service juridique est sollicité et complète le règlement d’entreprise pour faire mention de ce logiciel et des données collectées, et intervient auprès du service informatique pour que les accès soient circonscrits au service des RH et aux chefs de service. À cette condition, la mention de la cause de l’absence est maintenue, car elle est pertinente pour le calcul du droit aux vacances et la gestion des absences de longue durée.
Recommandations
En application du principe de proportionnalité, seules les données nécessaires doivent être collectées, et elles ne doivent être accessibles qu’aux personnes qui en ont besoin.
Principes de base
art. 4 et 7 LPD
Proportionnalité, Sécurité (confidentialité)
Ressources
Voir la fiche du PFPDT sur le contrôle d'accès d'un centre de loisirs: