La réglementation sur le contrôle d'accès
Accueil | Blog | Sûreté | Contrôle d'accès | La réglementation sur le contrôle d’accès

La réglementation sur le contrôle d’accès

Laureen - 02/05/2023

Les Systèmes de Contrôle d’Accès (par badge ou électroniques) assurent la sécurité de nos collaborateurs ainsi que de nos biens (cf Vol en entreprise, que faire). En filtrant les flux d’entrée et de sortie d’un bâtiment, ils protègent les locaux ou zones soumis aux risques d’intrusion. Il est important de prendre en compte les risques spécifiques et les besoins de l’entreprise, pour choisir un système de sécurité adapté (vidéosurveillance, alarme intrusion, contrôle d’accès…).

Quelles sont les règles d’utilisation relatives au Système de Contrôle d’Accès ?

1

qui définit la réglementation ?

La CNIL (Commission Nationale de l’Informatique et des Libertés), encadre les principales règles quant à l’utilisation des dispositifs de contrôles d’accès. Depuis 2018, elle n’a officiellement plus de valeur juridique sur la question, en faveur du RGPD. Toutefois, elle est considérée comme la « référence maîtresse » dans ce domaine, dans le cadre de son objectif premier ; protéger les données personnelles et préserver les libertés individuelles.

La Norme ISO 27001 détermine également quelques mesures, elle veille principalement à la sécurité des systèmes d’information au global.

Le Code du Travail et le Code Civil ont par ailleurs leur rôle dans la réglementation d’un système de contrôle d’accès et dans sa bonne utilisation. Les lois qui les composent veillent particulièrement au respect de la vie privée des individus et aux droits dont ils disposent.

2

information des salariés

Avant d’engager toute démarche dans l’installation d’un système de contrôle d’accès, l’employeur a l’obligation de consulter les instances représentatives de l’entreprise et les salariés. Il doit aussi leur faire part des logiciels de contrôle reliés au système (contrôle d’horaire par exemple), pour alerter d’une potentielle collecte de données.

Selon l’article L.432-2-1 du Code du Travail : « Le comité d’entreprise est informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés. »

Et d’après l’article L1222-4 du Code du Travail : « Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance. »

 L’employeur devra également être transparent avec chacun de ses collaborateurs vis-à-vis des :

  • Finalités poursuivies,
  • Bases légales du dispositif (code du travail, intérêt légitime de l’employeur),
  • Destinataires des données issues du dispositif,
  • Durées de conservation des données,
  • Droits d’opposition, d’accès et de rectification à cette installation pour motif légitime.

C’est d’ailleurs ce que prévoit l’article L1222-3 du Code du Travail en disant que : « Le salarié est expressément informé, préalablement à leur mise en œuvre, des méthodes et techniques d’évaluation professionnelles mises en œuvre à son égard. Les résultats obtenus sont confidentiels. Les méthodes et techniques d’évaluation des salariés doivent être pertinentes au regard de la finalité poursuivie. »

3

collecte des données

Dans la mesure où le dispositif implique une collecte et un traitement de données, la question sur la protection devient primordiale. C’est pourquoi la loi prévoit des règles strictes et formelles sur le mode d’utilisation de ces données.

La majeure partie des procédures relatives à la gestion des données d’un dispositif de contrôle d’accès, est basée sur les règles de la CNIL, en étroite collaboration avec les règles prévues par le RGPD. Néanmoins, depuis 2004, il est d’usage de formuler une demande d’avis à la CNIL, sur le système choisi et le type de données récoltées. Pour que cette demande soit reçue, elle devra être conforme à la norme NS-42*, pour disposer d’un contrôle d’accès.

*Elle est destinée aux entreprises qui font usage classique de leur dispositif d’accès sécurisé (non-biométrique).

PROTECTION DES DONNÉES

Comme nous l’avons évoqué, notre dispositif de sécurité doit être utilisé à des finalités poursuivies, c’est-à-dire qu’il doit être installé pour motif légitime et faire preuve de fiabilité.

En général dans une entreprise, toute information reçue, doit rester strictement confidentielle. Il sera ainsi du devoir de l’employeur et des services gérant le personnel (sécurité, gestion de paie), de veiller à la préservation des données personnelles. La CNIL et le Code du Travail disposent ainsi que les données récoltées doivent essentiellement indiquer :

  • L’identité du salarié
  • Le numéro ou identifiant de son badge
  • Les dates et heures d’entrée et de sortie des locaux

A noter qu’un salarié peut très bien exprimer ne pas être en accord avec l’installation d’un tel système. Il sera tout à fait en droit d’engager une réclamation à la CNIL, en adéquation avec l’article L. 1121-1 du Code du Travail : « Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché. »

Par ailleurs, l’article 9 du Code Civil dispose que : « Chacun a droit au respect de sa vie privée. »

UTILISATION DES DONNÉES

La conservation des informations relatives aux horaires de travail, sert notamment au calcul des congés payés, RTT ou encore heures supplémentaires.

Cependant ces données ne peuvent être utilisées à des fins de licenciement, ou de surveillance excessive de l’activité des salariés. L’employeur ne peut utiliser les fichiers de données pour justifier un non-respect des horaires de travail. Il ne peut également refuser de payer des heures supplémentaires et ceci même au regard des données fournies par le système de contrôle d’accès.

En cas de transgression de ces règles, l’employeur encourt un paiement d’amende.

DURÉE DE CONSERVATION

Les données relatives aux accès des locaux (entrées, sorties), ne peuvent être conservées que pendant 3 mois. Passé ce délai, elles devront impérativement être supprimées.

Concernant la durée de conservation des données indiquant le suivi d’activité des collaborateurs (horaires, absences), celle-ci est limitée à 5 ans.

4

en cas de non respect

Les sanctions varient en fonction de la gravité de l’infraction et peuvent être imposées par la CNIL, le RGPD, les tribunaux administratifs ou les tribunaux pénaux. Les entreprises sont soumises à des sanctions financières allant jusqu’à 300 000 euros et à des poursuites judiciaires (jusqu’à 5 ans d’emprisonnement).

En cas de collecte illégale de données personnelles, la CNIL ordonne généralement la confiscation des équipements utilisés pour commettre l’infraction, la suppression des données non conformes et annule leur transfert vers des pays tiers non autorisés, si nécessaire.

L’importance de se conformer à la réglementation sur le contrôle d’accès, est ainsi très élevée car elle garantit aussi la sécurité de ses locaux, de ses ressources et des données personnelles. Maîtriser l’ensemble de ses règles vous permettra ainsi de protéger votre entreprise, vos collaborateurs et vos fichiers confidentiels.

À retenir

La réglementation du contrôle d’accès est une question importante pour les entreprises et soucieuses de la sécurité et de la protection des données personnelles.

A retenir
  • Informez-vous sur les règles à mettre en place, pour un dispositif de contrôle d’accès conforme.
  • Toute décision impliquant la conservation de données personnelles, doit être étudiée en interne, proportionnelle au besoin de l’entreprise et légitime.
  • Chacun des collaborateurs doit être informé de l’installation et possède un droit de refus ou de rétractation.
  • En amont de l’acquisition de votre contrôle d’accès, une demande d’avis à la CNIL doit être formulée.
  • Il faut toujours se tenir informé des évolutions réglementaires et des meilleures pratiques en matière de sécurité.
fond securipro