FREE BETA Pintime est en Bêta : inscrivez-vous pour un accès anticipé gratuit !
← Blog Pintime

RGPD et gestion des présences : ce que doit savoir l'employeur

8 avril 2026 · 9 min de lecture RGPD gestion présences salariés

Quand on parle du RGPD, on pense généralement aux bandeaux cookies, aux emails marketing et aux formulaires d'abonnement. Pourtant, le Règlement Général sur la Protection des Données (Règlement UE 2016/679) a un impact très concret sur quelque chose de bien plus quotidien : la façon dont votre entreprise enregistre les présences des salariés.

Chaque fois qu'un salarié pointe à l'entrée, chaque fois que le système enregistre un départ anticipé, chaque fois qu'une application GPS certifie la position d'un travailleur sur un chantier — vous traitez des données personnelles. Et si vous le faites sans les garanties appropriées, vous vous exposez à des amendes débutant à 10 000 euros et pouvant atteindre 4 % du chiffre d'affaires mondial annuel.

Ce guide vous explique ce que vous devez faire, concrètement, pour être en conformité. Il ne constitue pas un conseil juridique — pour cela, consultez un professionnel qualifié — mais il vous donne la cartographie pour comprendre où vous en êtes et ce qui peut manquer.

Quelles données collecte un système de gestion des présences ?

Avant de parler d'obligations, il est utile de clarifier de quelles données il s'agit. Un système de gestion des présences traite au moins trois catégories :

Données horaires (pointage entrée/sortie) : ce sont les données les plus élémentaires. Elles enregistrent quand le salarié a commencé et terminé sa journée de travail, y compris les heures supplémentaires, les pauses et les sorties intermédiaires. Ce sont des données personnelles ordinaires, mais soumises au RGPD.

Données de géolocalisation : si vous utilisez une application avec GPS ou géofencing, le système enregistre également où se trouvait le salarié au moment du pointage. Ces données sont considérées comme plus sensibles car elles peuvent révéler des habitudes, des déplacements et même des informations sur la vie privée du travailleur.

Demandes de congés, arrêts maladie et absences : on entre ici dans le domaine des catégories particulières de données (art. 9 RGPD). Les données relatives à l'état de santé — comme une maladie ou une hospitalisation — bénéficient d'une protection renforcée et nécessitent des bases juridiques spécifiques pour être traitées licitement.

Le RGPD et les données des salariés : les bases juridiques applicables

Le RGPD n'interdit pas de traiter les données de vos salariés. Il exige que vous disposiez d'une base juridique pour le faire (art. 6 RGPD). Pour la gestion des présences, les deux bases les plus pertinentes sont :

Exécution du contrat (art. 6.1.b) : le contrat de travail comprend des obligations horaires. L'enregistrement des arrivées et des départs est nécessaire pour exécuter ce contrat et en vérifier le respect. Cette base couvre la majorité des données de présence standard.

Obligation légale (art. 6.1.c) : certaines réglementations imposent la conservation des données de présence — par exemple, les obligations en matière de sécurité au travail ou de cotisations sociales. Cette base s'applique conjointement ou à la place de la base contractuelle lorsqu'une obligation normative spécifique existe.

Le consentement n'est pas la bonne base pour les salariés. Les autorités de protection des données ont régulièrement rappelé que le consentement dans la relation de travail n'est pas libre par définition : le salarié se trouve dans une position de déséquilibre structurel par rapport à l'employeur. Utiliser le consentement comme unique base pour traiter des données de présence est une erreur qui invalide l'ensemble du traitement.

Quand le consentement est-il réellement nécessaire ?

Le consentement n'est requis que pour des traitements allant au-delà de la gestion ordinaire de la relation de travail — par exemple, le partage de données de présence avec des tiers à des fins statistiques, ou pour des usages que le salarié ne pourrait raisonnablement pas anticiper.

Pour le contrôle de présence ordinaire à des fins de paie et de gestion du temps de travail, le consentement n'est pas requis.

Géolocalisation : les règles spéciales

La géolocalisation mérite un traitement à part. Le traitement des données GPS des travailleurs requiert :

  1. Une base juridique solide (intérêt légitime ou obligation contractuelle/légale — pas le consentement)
  2. Le respect de la réglementation nationale du travail sur la surveillance en entreprise
  3. Une information spécifique expliquant ce qui est tracé, quand, pendant combien de temps et qui peut accéder aux données

Les obligations concrètes de l'employeur

Information des salariés (art. 13 RGPD)

C'est le point sur lequel de nombreuses PME sont en défaut. Avant que le système de gestion des présences ne soit mis en service, chaque salarié doit recevoir une information claire et compréhensible précisant :

  • Qui est le responsable du traitement (votre entreprise)
  • Quelles données sont collectées (horaires, localisation GPS le cas échéant)
  • À quelles fins (gestion des présences, calcul des salaires, obligations légales)
  • Pendant combien de temps les données sont conservées
  • Avec qui elles sont partagées (expert-comptable, prestataire logiciel, éventuels sous-traitants)
  • Quels droits le salarié possède (accès, rectification, effacement, opposition)

L'information doit être remise par écrit, avec accusé de réception signé. Une communication orale ne suffit pas.

Conservation des données : combien de temps les garder ?

Le RGPD ne fixe pas de durée unique pour les données de présence. Les principes de minimisation et de limitation de la conservation s'appliquent (art. 5 RGPD). En pratique :

  • Les données nécessaires aux fiches de paie doivent être conservées au moins 3 ans en France (délai de prescription des créances salariales), souvent plus en pratique
  • Les données requises pour les obligations fiscales et sociales suivent les délais fiscaux — généralement 10 ans pour les documents comptables
  • Les données de géolocalisation utilisées uniquement pour vérifier la présence sur site ne doivent pas être conservées plus longtemps que nécessaire — quelques mois suffisent dans de nombreux cas

Définissez une politique de conservation des données écrite et mettez en place des mécanismes de suppression automatique. Si vous utilisez un logiciel SaaS, vérifiez que le prestataire prend en charge ces fonctionnalités.

Qui est le DPO et quand est-il obligatoire ?

Le Délégué à la Protection des Données (DPO) est obligatoire seulement dans certains cas (art. 37 RGPD) : autorités publiques, organisations effectuant un suivi systématique à grande échelle des personnes, ou traitant des catégories particulières de données à grande échelle. La plupart des PME disposant d'un système de présence standard ne sont pas tenues de désigner un DPO.

Toutefois, une désignation volontaire peut s'avérer judicieuse si votre structure emploie de nombreux salariés ou utilise un suivi GPS continu.

Registre des activités de traitement

Les entreprises de plus de 250 salariés sont tenues de tenir un registre des activités de traitement (art. 30 RGPD). Pour les entreprises plus petites, l'obligation s'applique uniquement lorsque le traitement n'est pas occasionnel ou présente des risques pour les droits des personnes.

La gestion des présences avec géolocalisation entre typiquement dans cette catégorie. Tenez un registre même si vous n'y êtes pas strictement obligé : en cas de contrôle, cela démontre une démarche responsable.

Géolocalisation et surveillance des salariés en droit français

Au-delà du RGPD, en France le Code du travail et les recommandations de la CNIL encadrent la surveillance des salariés. La CNIL a publié des lignes directrices précisant que :

  • Les salariés doivent être informés préalablement de tout dispositif de géolocalisation
  • Les représentants du personnel doivent être consultés avant la mise en place d'un tel dispositif
  • Le suivi de localisation ne peut être permanent : il doit être limité au temps de travail et aux déplacements professionnels
  • Les données de géolocalisation ne peuvent pas être utilisées pour contrôler le respect des limitations de vitesse ou surveiller les temps de pause

Une application de gestion des présences avec géofencing qui enregistre uniquement le moment du pointage — et non les déplacements en continu au cours de la journée — est généralement considérée comme proportionnée. Un suivi GPS ininterrompu de salariés de bureau pendant toute la journée de travail ne l'est pas.

Ce que vous risquez en cas de non-conformité

Les sanctions du RGPD sont bien connues : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel, le montant le plus élevé étant retenu. La CNIL a prononcé des sanctions significatives pour des manquements liés à la surveillance au travail :

  • Amendes pour installation de dispositifs de géolocalisation dans des véhicules d'entreprise sans information préalable des salariés.
  • Mises en demeure pour conservation des données de pointage au-delà de la durée nécessaire sans base juridique suffisante.
  • Avertissements adressés à des employeurs n'ayant pas remis l'information de confidentialité avant d'activer de nouveaux systèmes de contrôle.

Outre les sanctions financières, une décision de la CNIL peut entraîner la suspension du traitement — ce qui signifie l'arrêt du système de gestion des présences jusqu'à la mise en conformité.

Comment choisir un outil conforme au RGPD

Lors de l'évaluation d'un logiciel de gestion des présences, vérifiez toujours :

  • Hébergement des données en UE : les données sont-elles stockées sur des serveurs au sein de l'UE/EEE ? Le prestataire offre-t-il des garanties pour les transferts hors EEE ?
  • Accord sur le traitement des données : le prestataire logiciel agit-il en tant que sous-traitant au sens de l'art. 28 RGPD ? Il doit l'être, et vous devez conclure avec lui un Contrat de Sous-Traitance (DPA) écrit.
  • Fonctionnalités de conservation : pouvez-vous configurer la suppression automatique après une période définie ?
  • Journaux d'accès : qui dans votre entreprise peut consulter les données de présence ? Le système enregistre-t-il les accès ?
  • Accompagnement à la conformité : le prestataire vous aide-t-il à préparer l'information de confidentialité à remettre aux salariés ?

Pintime est conçu avec ces exigences à l'esprit : infrastructure européenne, DPA disponible, géofencing qui enregistre uniquement le moment du pointage — sans suivi continu. Essayez-le gratuitement pendant la phase Bêta.

Cet article est fourni à titre informatif et ne constitue pas un conseil juridique. Pour une analyse propre à votre situation, consultez un avocat spécialisé en droit du travail ou en protection des données.

Essayez Pintime gratuitement pendant la Bêta

Suivi des présences GPS, géofencing et rapports automatiques. Sans carte bancaire.

Commencer Gratuitement →