En Belgique, l'enregistrement du temps de travail est à la fois une obligation légale et un véritable casse-tête au regard du RGPD. Vous devez suivre avec précision le temps de travail pour respecter les obligations imposées par l'ONSS, mais chaque méthode de pointage, qu'il s'agisse d'une application mobile ou d'un lecteur d'empreintes digitales, implique le traitement de données à caractère personnel. Voici un guide rédigé en langage clair qui explique ce qu'autorise la législation belge, où l'Autorité de protection des données (GBA) fixe les limites, et comment mettre en place un système d'enregistrement du temps de travail avec Suivo qui soit à la fois précis et conforme à la loi.
Pourquoi l'enregistrement du temps de travail est-il obligatoire en Belgique ?
La législation belge en matière de sécurité sociale impose aux employeurs d'enregistrer le temps de travail effectif de la plupart de leurs salariés. L'ONSS (Conseil national de la sécurité sociale) utilise ces registres lors de ses contrôles pour vérifier que les travailleurs sont correctement déclarés et que les cotisations sociales correspondent aux heures travaillées. Pour les entreprises de construction, le système « Check-in at Work » (CIAW) ajoute une deuxième obligation : chaque travailleur présent sur un chantier éligible doit être enregistré à son arrivée et, depuis l’extension du système « Check-in and Out at Work » (CIAO), également à son départ.
Cette obligation légale revêt également une importance particulière au regard de la législation sur la protection de la vie privée. En vertu de l’article 6, paragraphe 1, point c), du RGPD, le traitement de données à caractère personnel visant à respecter une obligation légale ne nécessite pas le consentement du salarié. L’obligation découlant de la NSSO constitue cette base juridique. Vous n’avez donc pas besoin de demander l’autorisation des salariés pour enregistrer leur temps de travail.
Qu'est-ce qui est considéré comme une donnée à caractère personnel dans le cadre de l'enregistrement des temps de travail ?
Dans un système de gestion des temps, presque tout relève des données à caractère personnel :
- Horodatages d'arrivée et de départ associés à un salarié identifié.
- Les données de localisation si vous utilisez le GPS ou le géorepérage pour déterminer à quel moment un employé arrive sur le site.
- Données relatives à l'appareil si vous utilisez une application mobile (identifiant du téléphone, adresse IP).
- Données biométriques si vous utilisez un lecteur d'empreintes digitales ou un terminal de reconnaissance faciale.
Tout cela relève du RGPD. La base juridique (obligation légale de l'ONSS) couvre les informations de base concernant « qui a travaillé, quand et où ». Elle ne confère toutefois pas de licence illimitée : vous devez toujours appliquer le principe de proportionnalité et ne traiter que les données qui sont réellement nécessaires à la finalité poursuivie.
L'exception biométrique : ce qu'en dit la législation belge
Les lecteurs d'empreintes digitales et les pointeuses à reconnaissance faciale sont très répandus sur les chantiers de construction, car ils sont difficiles à utiliser de manière abusive. Un travailleur ne peut pas pointer à la place d'un collègue. Cependant, les données biométriques constituent une catégorie particulière de données à caractère personnel au sens de l'article 9 du RGPD, ce qui signifie que la base juridique standard de l'ONSS ne suffit pas à elle seule.
En Belgique, l'utilisation de données biométriques dans le cadre professionnel est soumise à l'une des conditions suivantes :
1. Une convention collective de travail au niveau sectoriel (CCT au niveau national ou sectoriel) autorisant explicitement l'utilisation de l'identification biométrique dans ce secteur. Certains secteurs ont négocié de telles conventions ; la plupart ne l'ont pas fait.
2. Le consentement explicite, spécifique et librement donné de chaque salarié, ce qui est difficile à mettre en pratique dans le cadre d'une relation de travail, car le consentement est rarement véritablement libre.
L'autorité belge de protection des données (GBA) a publié des lignes directrices confirmant que la plupart des employeurs ne peuvent pas se fonder uniquement sur le consentement individuel dans le cadre d'une relation de travail. Si votre secteur ne dispose pas d'une convention collective (CAO) autorisant l'utilisation de données biométriques, l'utilisation d'une pointeuse à empreintes digitales présente un risque juridique. Une alternative plus sûre pour une identification sécurisée et non transférable consiste à utiliser un badge NFC personnel ou un code QR, qui ne traitent pas de données biométriques.
GPS et géorepérage : des mesures proportionnées pour les travailleurs sur le terrain ?
Pour les équipes de terrain qui se déplacent d'un site à l'autre, d'un projet à l'autre ou chez différents clients, l'enregistrement des temps par GPS — système dans lequel la plateforme enregistre une pointe d'arrivée dès qu'un collaborateur pénètre dans une zone géolocalisée autour d'un site — s'avère efficace et pratique. La législation belge en matière de protection de la vie privée autorise cette pratique en vertu de la base juridique de l'ONSS, à condition de respecter trois conditions :
1. Transparence : l'utilisation du suivi par GPS doit être décrite dans votre règlement du travail (arbeidsreglement) et communiquée aux salariés avant sa mise en place. Il n'est pas légal de leur en faire part a posteriori.
2. Proportionnalité : l'utilisation du GPS pendant les heures de travail est proportionnée. En dehors des heures de travail, elle ne l'est généralement pas, sauf s'il existe une base juridique distincte et spécifique (par exemple, le suivi d'un véhicule de société après un vol).
3. Conservation : les données de localisation liées à une personne identifiée ne doivent pas être conservées plus longtemps que nécessaire. Pour les besoins de l’ONSS, il suffit de disposer d’un registre indiquant le site où un salarié s’est rendu un jour donné ; un suivi continu, seconde par seconde, est rarement proportionné.
Les entreprises de services sur le terrain qui utilisent la solution de suivi du temps de Suivo configurent généralement des zones de géolocalisation autour des chantiers et des sites des clients. Les employés reçoivent une notification lorsqu’ils pénètrent dans une zone, et leur pointage est enregistré automatiquement. Cette configuration, limitée aux plages horaires de travail, est proportionnée.
CBA n° 68 : obligations en matière de surveillance électronique
La convention collective de travail n° 68 (CCT 68), conclue au sein du Conseil national du travail, régit la surveillance des communications électroniques et de l'activité en ligne sur le lieu de travail en Belgique. Elle ne s'applique pas directement aux pointeuses, mais elle s'applique lorsque vous utilisez des outils logiciels, y compris des plateformes de gestion des effectifs, pour observer comment, quand et où un salarié utilise des moyens électroniques.
Si votre système d'enregistrement du temps de travail recueille également des données sur les activités d'un salarié sur son appareil, vous relevez alors de la convention collective n° 68. Cette convention vous impose les obligations suivantes :
- Informez chaque salarié individuellement des éléments faisant l'objet d'un suivi, des raisons de ce suivi et de l'utilisation qui est faite des données.
- Définissez clairement l'objectif : l'enregistrement des heures de travail, et non une surveillance générale.
- Limitez l'accès aux données aux personnes qui en ont un réel besoin professionnel (RH, service de la paie, supérieurs hiérarchiques directs), et non à l'ensemble des responsables.
- Définissez une durée de conservation et respectez-la.
C'est généralement dans le règlement intérieur ou dans un avenant au contrat de travail que ces engagements sont consignés.
Ce que la GBA peut faire si vous vous trompez
L'Autorité belge de protection des données (GBA / Autorité de protection des données) examine les plaintes, réalise des audits et peut infliger des amendes administratives pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour la plupart des PME belges, la GBA réagit généralement aux premières infractions procédurales par un avertissement formel et une injonction de remédier au problème. Toutefois, dans les cas impliquant l’utilisation de données biométriques sans base juridique appropriée, les amendes sont bien réelles.
Les salariés ont également le droit d'accéder aux données à caractère personnel que vous détenez à leur sujet, d'en demander la rectification et, dans certaines circonstances, d'en demander la suppression. Un système d'enregistrement des temps bien structuré, avec des catégories de données et des délais de conservation clairement définis, permet de répondre à ces demandes de manière simple et sans difficulté.
Mise en place d'un système d'enregistrement des heures conforme à la réglementation
Une liste de contrôle pratique pour les employeurs belges :
- Mettez à jour votre règlement intérieur afin de décrire la méthode d'enregistrement du temps de travail, les données collectées, leur finalité et leur durée de conservation.
- Choisissez soigneusement votre solution de pointage : une application mobile ou un badge NFC dans la plupart des cas ; évitez la biométrie, sauf si votre secteur est régi par une convention collective spécifique.
- Limiter le suivi par GPS aux heures de travail et veiller à ce que les salariés en soient informés avant la mise en place de ce dispositif.
- Configurez l'accès aux données en fonction des rôles au sein de votre plateforme de gestion des effectifs afin que seul le personnel autorisé puisse consulter les historiques relatifs à un site spécifique ou aux pointages.
- Définissez une politique de conservation des données : la plupart des employeurs conservent les relevés de temps pendant 5 ans afin de respecter les délais d'audit de l'ONSS ; les données de localisation allant au-delà d'un résumé quotidien peuvent souvent être supprimées plus tôt.
- Réalisez une analyse d'impact relative à la protection des données (AIPD) si vous mettez en place, pour la première fois, un système de suivi par GPS ou d'identification biométrique. Cette démarche est obligatoire en vertu de l'article 35 du RGPD pour les traitements présentant un risque élevé.
La solution de gestion des effectifs de Suivo intègre des contrôles d'accès basés sur les rôles et des options configurables de conservation des données afin de prendre en charge ce cadre de conformité.
En résumé
En Belgique, l'enregistrement du temps de travail est une obligation légale, ce qui vous offre une base solide au regard du RGPD. Ce ne sont pas les données de pointage de base qui posent problème à la plupart des employeurs, mais les éléments supplémentaires : des lecteurs biométriques utilisés sans convention collective (CAO) appropriée, le GPS activé en dehors des heures de travail ou des plateformes de surveillance qui collectent plus de données que nécessaire. Assurez-vous de disposer d'une base juridique solide, faites preuve de transparence envers vos salariés et configurez votre système de manière à ne collecter que les données dont l'ONSS a réellement besoin.
Prêt à mettre en place un système d'enregistrement des heures conforme ?
Suivo aide les entreprises belges du secteur de la construction et des services sur le terrain à enregistrer avec précision le temps de travail, grâce à des contrôles d'accès et des options de configuration qui leur permettent de respecter la législation belge en matière de protection de la vie privée.