Aller au contenu
Team5connect
← Toutes les ressources
Conformité·5 min·

Pointage biométrique : RGPD et CNIL en 2026

Ce que vous avez le droit de faire — et ce que vous ne pouvez pas — quand vous mettez en place un pointage.

Empreintes digitales, reconnaissance faciale, lecteur de paume : la tentation est grande de fiabiliser le pointage par la biométrie. La CNIL et le RGPD encadrent strictement ces pratiques. Voici l'essentiel pour rester en conformité.

Les données biométriques sont sensibles par nature

Le RGPD (article 9) classe les données biométriques permettant l'identification unique d'une personne parmi les données dites « sensibles ». Leur traitement est en principe interdit, sauf exceptions strictement encadrées et justifiées.

Concrètement, l'employeur ne peut pas mettre en place un dispositif biométrique de pointage simplement parce que c'est plus pratique ou plus sûr en apparence. Il doit prouver qu'aucun moyen moins intrusif ne permet d'atteindre le même objectif.

La position de la CNIL en 2026

Le règlement type biométrie de la CNIL (mis à jour fin 2025) maintient un cadre prudent :

  • La biométrie pour contrôler les horaires de travail est, par principe, interdite.
  • Elle peut être autorisée pour contrôler l'accès à des zones sensibles (sécurité physique), pas pour pointer.
  • L'usage doit être proportionné, et l'analyse d'impact relative à la protection des données (AIPD) est obligatoire.
  • Le salarié doit être informé et son consentement n'est jamais valable comme base légale unique en contexte de subordination.

Les alternatives autorisées

Pour pointer en conformité, plusieurs solutions existent :

  • Matricule + lien sécurisé envoyé par SMS ou courriel à usage unique. Aucune donnée biométrique. Adoption rapide.
  • Badge sans contact (NFC, RFID) nominatif, à présenter sur un lecteur.
  • QR code chantier à scanner avec son smartphone.
  • Géolocalisation au pointage (sous réserve d'information préalable et de finalité légitime).
  • Reconnaissance faciale en local (« stand-alone ») : seules les empreintes restent sur le terminal du salarié, jamais transmises au serveur. Cette solution reste à manier avec prudence.

Les sanctions

Une violation des règles RGPD peut entraîner :

  • Une amende administrative jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'entreprise.
  • L'obligation de cesser le traitement et de supprimer les données.
  • Une publicité défavorable en cas de mise en demeure publique de la CNIL.

L'approche de Team 5 Connect

Team 5 Connect ne collecte aucune donnée biométrique pour la fonction de pointage. La connexion se fait par matricule + lien sécurisé à usage unique, ce qui élimine la question RGPD à la racine tout en restant simple à utiliser sur le terrain.

Toutes les données collectées (heures, déplacements, signatures) sont chiffrées au repos et en transit, accessibles via un journal d'audit complet, et conservées selon les durées légales applicables au secteur.

Voir l'application mobile → Discuter de mon cas