Éditeur de la solution : SASU ISCL
Raison sociale : ISCL, société éditrice de solutions numériques professionnelles
Solution concernée : GOAVA – Outil de badgeage et de traçabilité des agents sur site
Délégué à la protection des données (DPO) : Clain Stéphane (contact@agence-iscl.com)
Date de rédaction : 10/01/2025
La solution GOAVA permet la traçabilité des heures de travail, la gestion des présences, le suivi des agents sur le terrain et l’amélioration de la sécurité opérationnelle. Dans ce cadre, elle collecte certaines données personnelles à travers les fonctionnalités suivantes :
– Géolocalisation : permet de vérifier que l’agent se trouve bien sur site lors du badgeage.
– Prise de photo : capture instantanée à l’instant du badgeage pour authentifier l’utilisateur.
– Signature électronique : validation électronique de présence ou d’actions spécifiques.
– Code PIN individuel : sécurise l’accès au compte agent et évite l’usurpation d’identité.
Ces traitements visent à répondre à des besoins de sécurité, de preuve, de transparence et d’optimisation des ressources humaines.
Le traitement repose sur plusieurs bases légales prévues par l’article 6 du RGPD :
– Article 6-1.f – Intérêt légitime : pour garantir l’intégrité du processus de présence.
– Article 6-1.b – Exécution du contrat : pour la signature électronique dans le cadre du travail.
– Article 6-1.c – Obligation légale : pour conservation RH des temps de travail.
Une analyse d’impact (DPIA) est conseillée dans certains cas d’usage étendu.
Géolocalisation : coordonnées GPS ponctuelles lors du badgeage.
Prise de photo : capture instantanée via caméra du terminal. (hors zone France)
Signature électronique : donnée manuscrite ou code de validation numérique.
Code PIN : identifiant numérique sécurisé pour accès agent.
Conformément aux articles 12 à 23 du RGPD, chaque agent a les droits suivants :
– Droit d’information, d’accès, de rectification, d’effacement.
– Droit d’opposition (ex : à la géolocalisation).
– Droit à la limitation et à la portabilité.
Les demandes s’adressent au DPO Clain Stéphane avec justificatif d’identité.
| Type de données | Durée | Justification |
| Données GPS | 3 mois | Limitation du suivi dans le temps |
| Photos de badgeage | 3 mois | Preuve immédiate uniquement (hors zone France) |
| Signatures électroniques | 5 ans | Durée légale RH |
| Codes PIN | Durée du compte actif | Nécessaire à l’utilisation |
– Chiffrement des données sensibles.
– Authentification forte avec code PIN.
– Hébergement sécurisé ISO 27001 (France).
– Limitation des accès aux personnels autorisés.
– Journalisation des connexions et actions.
Les prestataires (hébergement, infogérance) sont soumis à des clauses RGPD. Aucune donnée n’est transférée hors UE sans garanties adéquates.
Les utilisateurs sont informés dès la première utilisation. Un module RGPD dans l’application ou une communication interne encadre cela.
Un mécanisme de retrait ou d’opposition partielle (ex : géoloc) est prévu.
Étape 1 – Détection et évaluation : analyse immédiate de la nature et gravité de la violation.
Étape 2 – Notification à la CNIL : sous 72h en cas de risque élevé, avec coordonnées du DPO.
Étape 3 – Information des utilisateurs : sans délai si risque pour leurs droits.
Étape 4 – Contention : blocage, analyse et correction.
Étape 5 – Journalisation : dans le registre RGPD ISCL.
Étape 6 – Renforcement : sécurité, formation, procédures.