Depuis l'entrée en vigueur du Décret-loi royal 8/2019 du 8 mars, l'enregistrement quotidien du temps de travail est une obligation légale pour toutes les entreprises espagnoles, quelle que soit leur taille ou leur secteur. L'article 34.9 du Statut des travailleurs (ET — Estatuto de los Trabajadores) exige que l'employeur garantisse l'enregistrement des heures précises de début et de fin de journée de chaque salarié. Ce que de nombreuses organisations n'ont pas analysé avec une profondeur suffisante, c'est que cet enregistrement — indépendamment du système technologique utilisé — constitue un traitement de données personnelles soumis au Règlement (UE) 2016/679 (RGPD) et à la Loi organique 3/2018 relative à la protection des données personnelles et à la garantie des droits numériques (LOPDGDD — Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales).
Dans cet article, nous expliquons quelles données personnelles génère le contrôle du temps de travail, quelle base juridique couvre ce traitement, comment appliquer le principe de minimisation, quand la biométrie impose une évaluation d'impact et quels délais de conservation doivent être respectés. L'objectif n'est pas d'accabler avec de la théorie, mais d'offrir une feuille de route pratique pour que l'entreprise puisse mettre en place ou réviser son système de pointage conforme au RGPD.
L'obligation légale : l'article 34.9 du Statut des travailleurs
L'article 34.9 de l'ET établit trois mandats que toute entreprise doit respecter :
- Enregistrer quotidiennement les heures précises de début et de fin de journée de chaque travailleur.
- Organiser et documenter cet enregistrement par négociation collective, accord d'entreprise ou, à défaut, par décision de l'employeur après consultation de la représentation légale des travailleurs.
- Conserver les enregistrements pendant quatre ans, en les tenant à la disposition des travailleurs eux-mêmes, de leurs représentants légaux et de l'Inspection du travail et de la Sécurité sociale.
Le non-respect de cette obligation constitue une infraction grave en matière de relations de travail au sens de l'article 7.5 de la Loi sur les infractions et sanctions dans l'ordre social (LISOS — Ley sobre Infracciones y Sanciones en el Orden Social), avec des sanctions allant de 751 à 7 500 euros par établissement. Toutefois, l'entreprise qui enregistre bien la durée du travail mais sans respecter la réglementation sur la protection des données peut commettre une infraction supplémentaire d'une nature différente.
Quelles données personnelles l'enregistrement du temps de travail génère-t-il ?
Le type et le volume de données personnelles varient substantiellement selon le système choisi. Au minimum, tout système de contrôle du temps de travail génère au moins les données suivantes liées à chaque salarié :
- Nom ou identifiant du travailleur.
- Heure exacte d'entrée et de sortie chaque jour.
- Pauses enregistrées (selon la configuration du système).
- Établissement ou poste à partir duquel le salarié pointe.
Selon la technologie utilisée, l'enregistrement peut également inclure des données de géolocalisation (applications mobiles de pointage), des données biométriques (empreintes digitales, reconnaissance faciale) ou des comportements professionnels permettant de déduire des informations sensibles. Chaque couche de données supplémentaire accroît le risque et exige des mesures de protection plus strictes.
Base juridique du traitement : l'obligation légale comme fondement
L'article 6 du RGPD énumère les bases juridiques qui légitiment le traitement des données personnelles. Dans le cas de l'enregistrement du temps de travail et de la protection des données, la base principale est l'article 6, paragraphe 1, point c) : le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis. Cette obligation légale est précisément l'article 34.9 de l'ET.
Cela a des conséquences pratiques importantes : l'entreprise n'a pas besoin d'obtenir le consentement des travailleurs pour traiter leurs données de contrôle du temps de travail, car la base juridique n'est pas le consentement mais le respect de la loi. Elle ne peut pas non plus renoncer au traitement même si le travailleur le demande, car cela impliquerait de ne pas respecter le droit du travail. Toutefois, le fait que la base soit une obligation légale n'exempte pas l'entreprise de respecter les autres principes du RGPD : minimisation, limitation des finalités, exactitude, intégrité et confidentialité.
Le principe de minimisation appliqué au contrôle du temps de travail
L'article 5, paragraphe 1, point c) du RGPD consacre le principe de minimisation des données : les données personnelles doivent être « adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées ». Appliqué au pointage conforme au RGPD, cela signifie que l'entreprise doit, avant de mettre en place ou de renouveler son système, déterminer quelles données sont réellement nécessaires pour démontrer le respect de l'article 34.9 de l'ET.
Les réponses à ces questions orientent la conception du système :
- Est-il nécessaire d'enregistrer les courtes pauses (pauses café) en plus des entrées et sorties ? Si la convention collective ne l'exige pas, cela pourrait être excessif.
- Est-il nécessaire de savoir exactement depuis quel endroit le travailleur pointe, ou suffit-il de confirmer qu'il se trouve dans l'établissement ?
- Le système de reconnaissance biométrique est-il la seule option techniquement viable, ou existe-t-il une alternative moins intrusive (carte RFID, code PIN, application avec authentification par mot de passe) ?
Le principe de la protection des données dès la conception et par défaut (art. 25 RGPD) oblige à intégrer ces réflexions lors de la phase de sélection du système, et non comme une correction a posteriori. Les entreprises qui travaillent avec Summum Consultoría pour aligner leurs systèmes d'enregistrement du temps de travail reçoivent une analyse de proportionnalité préalable à tout déploiement technologique.
La biométrie dans le pointage : le régime spécial de l'article 9 du RGPD
L'une des erreurs les plus fréquentes des entreprises qui installent des terminaux à empreintes digitales ou de reconnaissance faciale pour le contrôle du temps de travail est de ne pas tenir compte du fait que les données biométriques traitées aux fins d'identifier de manière unique une personne physique constituent une catégorie particulière de données au sens de l'article 9, paragraphe 1, du RGPD. Leur traitement est en principe interdit, sauf si l'une des exceptions prévues à l'article 9, paragraphe 2, est applicable.
Dans le contexte du travail, l'exception applicable est généralement l'article 9, paragraphe 2, point b) du RGPD : le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres du responsable du traitement ou de la personne concernée en matière de droit du travail. Toutefois, l'Agence espagnole de protection des données (AEPD — Agencia Española de Protección de Datos) a indiqué dans ses orientations que cette exception ne suffit pas à elle seule : l'entreprise doit démontrer que l'utilisation de la biométrie est nécessaire et proportionnée, c'est-à-dire qu'il n'existe pas de système alternatif moins intrusif permettant de vérifier également la présence du travailleur.
Autrement dit : si un système de carte RFID ou une application à code PIN remplit également la fonction d'attester l'entrée et la sortie du travailleur pour couvrir l'obligation de l'article 34.9 de l'ET, l'installation d'un lecteur d'empreintes digitales peut ne pas passer le test de proportionnalité. La biométrie ne se justifie que lorsqu'il existe un besoin réel — par exemple, dans des environnements à haute sécurité où l'usurpation d'identité représente un risque matériel vérifiable.
Quand une Analyse d'Impact relative à la Protection des Données est-elle nécessaire ?
L'article 35 du RGPD oblige à réaliser une Analyse d'Impact relative à la Protection des Données (AIPD) lorsque le traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Le traitement à grande échelle de catégories particulières de données est l'un des cas qui, selon les lignes directrices du Comité européen de la protection des données (CEPD), requiert impérativement une AIPD.
Par conséquent, toute entreprise qui déploie un système de contrôle du temps de travail fondé sur la biométrie doit réaliser une AIPD avant de mettre le système en production. Cette évaluation doit documenter : la description du traitement et de ses finalités, l'appréciation de la nécessité et de la proportionnalité, les risques identifiés pour les droits des travailleurs et les mesures envisagées pour les atténuer. Si un risque résiduel élevé subsiste après l'AIPD, l'article 36 du RGPD impose une consultation préalable de l'autorité de contrôle (en Espagne, l'AEPD) avant d'entamer le traitement.
L'équipe de protection des données de Summum Consultoría accompagne les entreprises dans l'élaboration de la documentation nécessaire pour mettre en place un système d'enregistrement du temps de travail conforme au RGPD, y compris l'AIPD lorsque le système choisi l'exige.
La géolocalisation comme méthode de contrôle du temps de travail
Une autre modalité technologique en plein essor est le pointage via une application mobile avec géolocalisation : le travailleur enregistre sa présence depuis son smartphone et le système valide qu'il se trouve au bon endroit. L'article 90 de la LOPDGDD réglemente spécifiquement ces systèmes dans le cadre professionnel et impose à l'employeur l'obligation d'informer préalablement les travailleurs et leurs représentants de l'existence et des caractéristiques du système. La distinction clé en matière de proportionnalité est celle qui sépare la capture ponctuelle de coordonnées au moment du pointage — suffisante pour attester le respect de l'article 34.9 de l'ET — de la géolocalisation continue tout au long de la journée, qui dépasse cette finalité et nécessiterait une justification indépendante. L'analyse détaillée de la géolocalisation au travail et de la vidéosurveillance, ainsi que le régime complet de l'article 90 de la LOPDGDD, sont développés dans notre article complémentaire Contrôle du temps de travail, géolocalisation et vidéosurveillance : ce qu'exigent le RGPD et la LOPDGDD.
Délais de conservation des enregistrements
L'article 34.9 de l'ET fixe un délai de conservation de quatre ans pour les enregistrements du temps de travail. Le RGPD, de son côté, établit à l'article 5, paragraphe 1, point e) le principe de limitation de la durée de conservation : les données ne doivent pas être conservées plus longtemps que nécessaire au regard des finalités du traitement. En l'espèce, le délai de quatre ans prévu par l'ET constitue le maximum légalement établi ; à l'expiration de ce délai, l'entreprise doit procéder à la suppression ou à l'anonymisation des données.
Pendant ce délai, les données de contrôle du temps de travail doivent être stockées avec des mesures de sécurité adéquates, en limitant l'accès aux personnes qui en ont réellement besoin (responsables des ressources humaines, inspecteurs du travail lorsqu'ils l'exigent, représentants des travailleurs dans l'exercice de leurs fonctions légales). La politique d'accès doit être documentée et révisée régulièrement.
| Système | Type de donnée | Catégorie spéciale (art. 9) | AIPD requise | Niveau de risque RGPD |
|---|---|---|---|---|
| Registre papier ou livre de signatures | Signature manuscrite + horaire | Non | Non | Faible |
| Logiciel de gestion avec PIN ou mot de passe | Identifiant + horodatage | Non | Non (sauf grande échelle) | Faible-moyen |
| Carte RFID ou NFC | ID de carte + horodatage | Non | Non | Faible-moyen |
| Application mobile avec géolocalisation au pointage | Coordonnées GPS + horodatage | Non | Recommandée | Moyen |
| Application mobile avec géolocalisation continue | Trajectoire GPS en temps réel | Non | Oui | Élevé |
| Lecteur d'empreintes digitales | Donnée biométrique (empreinte) | Oui | Oui (obligatoire) | Élevé |
| Reconnaissance faciale | Donnée biométrique (géométrie faciale) | Oui | Oui (obligatoire) | Très élevé |
Obligation d'information des travailleurs
Les articles 13 et 14 du RGPD imposent au responsable du traitement l'obligation d'informer les personnes concernées — en l'occurrence, les travailleurs — sur les caractéristiques essentielles du traitement de leurs données. Ces informations doivent être fournies au plus tard au moment où les données sont collectées pour la première fois ou, dans le cas de l'article 14, dans un délai d'un mois à compter du moment où le responsable obtient les données auprès d'une source autre que la personne concernée.
Dans le cadre du contrôle du temps de travail, les informations minimales que chaque travailleur doit recevoir comprennent :
- Identité et coordonnées du responsable du traitement (l'entreprise).
- Finalité du traitement : respect de l'obligation légale d'enregistrement du temps de travail (art. 34.9 ET).
- Base juridique : article 6, paragraphe 1, point c) du RGPD (obligation légale).
- Délai de conservation : quatre ans (art. 34.9 ET).
- Destinataires des données : Inspection du travail et de la Sécurité sociale, représentants des travailleurs (dans l'exercice de leurs fonctions) et sous-traitants le cas échéant (le fournisseur du logiciel de pointage).
- Droits de la personne concernée : accès, rectification, effacement, limitation du traitement et opposition (arts. 15–21 RGPD).
- Droit d'introduire une réclamation auprès de l'AEPD.
Ces informations peuvent être intégrées dans le contrat de travail, dans le document d'accueil du salarié, dans l'intranet de l'entreprise ou dans un document spécifique de protection des données remis au début de la relation de travail. L'essentiel est qu'elles soient accessibles, intelligibles et que l'entreprise puisse démontrer que chaque travailleur les a bien reçues.
La convergence avec les systèmes technologiques de l'entreprise
Le contrôle du temps de travail vit rarement dans un silo technologique isolé. Dans la plupart des entreprises, les données de pointage sont intégrées au système de paie, à l'ERP de l'entreprise, à l'outil de gestion des ressources humaines ou, dans les entreprises avec des travailleurs sur le terrain, à des applications de planification des tournées et des tâches. Chaque intégration constitue un flux de données supplémentaire qui doit être documenté dans le Registre des activités de traitement (RAT) exigé par l'article 30 du RGPD et qui implique de vérifier que les sous-traitants concernés (fournisseurs de logiciels, intégrateurs, opérateurs cloud) ont signé les contrats de sous-traitance exigés par l'article 28 du RGPD.
Les entreprises disposant d'un département ou d'un conseil en systèmes d'information doivent coordonner la mise en place ou la révision de leur système de contrôle du temps de travail conforme au RGPD avec la fonction protection des données dès le départ — non seulement pour la configuration technique des contrôles d'accès et du chiffrement, mais pour garantir que l'architecture du système respecte le principe de protection des données dès la conception (art. 25 RGPD). Chez Summum Consultoría, nous travaillons de manière coordonnée entre nos divisions Conseil et Systèmes pour accompagner ce processus de façon intégrale.
Le régime des sanctions : quel risque l'entreprise assume-t-elle ?
Le non-respect des obligations du RGPD dans le contexte du contrôle du temps de travail peut donner lieu à des sanctions sur deux fronts réglementaires :
- RGPD, article 83 : les infractions liées aux principes du traitement (art. 5), à la base juridique (art. 6), au traitement de catégories particulières sans base légale (art. 9) ou au manquement à l'obligation de réaliser une AIPD (art. 35) peuvent donner lieu à des amendes allant jusqu'à 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les infractions moins graves — comme le non-respect des obligations d'information — relèvent du palier allant jusqu'à 10 000 000 EUR ou 2 % du chiffre d'affaires.
- LOPDGDD, articles 72–74 : la loi espagnole classe les infractions et établit des critères de graduation de la sanction que l'AEPD applique en tenant compte de facteurs tels que l'intentionnalité, la durée, la nature des données concernées et les mesures prises pour atténuer le préjudice.
Il convient de souligner que l'AEPD n'agit pas seulement d'office : les enquêtes sont fréquemment déclenchées par des réclamations de travailleurs ou d'anciens salariés. Une entreprise qui a déployé un système de pointage biométrique sans AIPD, sans informer correctement les travailleurs et sans contrat de sous-traitance avec le fournisseur du terminal concentre plusieurs sources de risque simultanées.
Questions fréquentes
L'employeur peut-il utiliser la géolocalisation du téléphone professionnel pour contrôler la durée du travail ?
Oui, à condition que les exigences de l'article 90 de la LOPDGDD soient respectées : les travailleurs et leurs représentants légaux doivent être informés au préalable de l'existence et des caractéristiques du système de géolocalisation, avec mention expresse des droits dont ils disposent (arts. 15–22 RGPD). De plus, l'utilisation de la géolocalisation doit être proportionnée à la finalité : si le seul objectif est d'enregistrer le temps de travail, la capture des coordonnées au moment du pointage d'entrée et de sortie est suffisante ; le suivi continu de la position tout au long de la journée peut ne pas passer le test de proportionnalité.
Un système à empreintes digitales nécessite-t-il toujours une AIPD ?
Oui. Le traitement de données biométriques aux fins d'identifier de manière unique des personnes physiques constitue une catégorie particulière de données au sens de l'article 9, paragraphe 1, du RGPD, et le traitement de catégories particulières de données est explicitement listé parmi les cas qui requièrent impérativement une AIPD selon les lignes directrices du CEPD. L'AIPD doit être réalisée et documentée avant le déploiement du système, et non après. Si l'AIPD révèle un risque résiduel élevé qui ne peut être atténué par des mesures techniques ou organisationnelles, l'entreprise doit consulter l'AEPD avant de procéder.
Combien de temps les enregistrements du temps de travail doivent-ils être conservés ?
L'article 34.9 du Statut des travailleurs fixe un délai de conservation minimal de quatre ans. Pendant cette période, les enregistrements doivent rester à la disposition des travailleurs, de leurs représentants légaux et de l'Inspection du travail et de la Sécurité sociale. À l'expiration des quatre ans, le principe de limitation de la durée de conservation de l'article 5, paragraphe 1, point e) du RGPD exige de supprimer ou d'anonymiser les données, sauf si une autre obligation légale justifie une conservation plus longue (par exemple, un litige en cours qui nécessite de conserver les données comme preuve).
Quelles informations les travailleurs doivent-ils recevoir sur le système de contrôle du temps de travail ?
Au minimum, les informations prévues à l'article 13 du RGPD : identité du responsable du traitement, finalité et base juridique du traitement, délai de conservation, destinataires des données, et droits des personnes concernées avec indication des modalités d'exercice et du droit de réclamation auprès de l'AEPD. Si le système implique de la biométrie ou de la géolocalisation, les informations doivent mentionner spécifiquement ces circonstances. Remettre ces informations par écrit au début de la relation de travail et conserver un accusé de réception est la pratique recommandée pour démontrer la conformité à l'AEPD.