Pour pouvoir faire l'objet de la procédure de déclaration simplifiée de conformité à la présente norme simplifiée, les traitements automatisés d'informations nominatives visés ci-dessus doivent ne porter que sur des données objectives aisément contrôlables grâce à l'exercice du droit individuel d'accès ; ne pas donner lieu à des interconnexions avec d'autres traitements automatisés d'informations nominatives, sauf celles résultant éventuellement de l'article 5, ou à des transmissions autres que celles nécessaires à l'accomplissement des finalités énoncées à l'article 2 ; ne pas comporter d'informations autres que celles énumérées à l'article 3 ; satisfaire aux conditions énoncées aux articles 2 à 9 et ne pas mettre en oeuvre de dispositifs recourant à une identification biométrique.
Les traitements mis en oeuvre ne doivent concerner que les entrées et sorties du lieu de travail et ne pas permettre le contrôle de déplacements à l'intérieur du lieu de travail, à l'exception des cas dans lesquels certaines zones identifiées font l'objet d'une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent.
Les traitements mis en oeuvre dans ce cadre n'ont pas pour objet de permettre le contrôle du respect des quotas de facilités en temps accordés aux représentants du personnel.

Finalités du traitement. - Le traitement ne doit pas avoir d'autres finalités que :
- le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de l'entreprise ou de l'administration faisant l'objet d'une restriction de circulation ;
- la gestion des horaires et des temps de présence ;
- le contrôle de l'accès au restaurant d'entreprise ou administratif et la gestion de la restauration ainsi que la mise en place d'un système de paiement associé ;
- le contrôle d'accès des visiteurs.

Informations collectées et traitées. - Chaque application peut être mise en oeuvre de façon indépendante ou intégrée. Les informations suivantes peuvent être collectées :
a) Identité : nom, prénom, numéro de matricule interne, corps d'appartenance, grade. Photographie ;
b) Vie professionnelle : service, plages horaires habituellement autorisées, zones d'accès habituellement autorisées, congés, autorisations d'absences, jours de réduction du temps de travail, décharge d'activité de service et autres absences (motifs, droits et décomptes) ;
c) Badges : numéro du badge ou de la carte, date de validité ;
d) En cas d'accès à un parking, numéro d'immatriculation du véhicule, numéro de place de stationnement ;
e) Visiteurs : nom, prénom, date et heure de visite, société d'appartenance et nom du salarié ou de l'agent public accueillant le visiteur ;
f) Heures d'entrée et de sortie, numéro de la porte utilisée ;
g) En cas de gestion de la restauration, les informations relatives à la date du repas ainsi qu'au type de consommation, sous la forme exclusive : « hors d'oeuvre », « plat », « dessert », « boisson » ;
h) Prix des consommations et moyen de paiement, part patronale ou de l'administration, solde.

Durée de conservation. - Les éléments d'identification des salariés ou des agents publics ne doivent pas être conservés au-delà de cinq ans après le départ du salarié ou de l'agent de l'entreprise ou de l'administration.
Les éléments relatifs aux déplacements des personnes ne doivent pas être conservés plus de trois mois.
Toutefois, les informations relatives aux salariés ou aux agents publics peuvent être conservées pendant cinq ans lorsque le traitement a pour finalité le contrôle du temps de travail.
La conservation des données relatives aux motifs d'absence est limitée à une durée de cinq ans, sauf dispositions législatives contraires.
En cas de paiement direct ou de prépaiement des repas, les données monétiques ne peuvent être conservées plus de trois mois. En cas de paiement par retenue sur le salaire, la durée de conservation est de cinq ans.

Destinataires des informations. - Dans la limite de leurs attributions respectives, les informations nominatives peuvent être communiquées aux destinataires suivants :
Les personnes habilitées du service du personnel : identité, vie professionnelle, badge, temps de présence et déplacements des personnes ;
Les personnes habilitées des services gérant la paie ou les traitements : identité, situation économique et financière, temps de présence, vie professionnelle ;
Les personnes habilitées des services gérant la sécurité des locaux : identité, badge, temps de présence et déplacement des personnes ;
Les personnes habilitées du service ou de l'organisme gérant le restaurant d'entreprise ou administratif : identité, gestion de la restauration, prix des consommations et moyen de paiement.
Lorsqu'un accord sur le temps de travail le prévoit et dans la limite des dispositions légales et conventionnelles applicables, certains salariés protégés peuvent être destinataires des informations relatives aux heures d'arrivée et de départ des personnes.

Liberté de circulation des salariés protégés. - Les contrôles d'accès aux locaux de l'entreprise ou de l'administration et aux zones de celle-ci limitativement désignées, faisant l'objet d'une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent, ne doivent pas entraver la liberté d'aller et venir des salariés protégés dans l'exercice de leurs fonctions.

Information et droit d'accès. - Lorsque le responsable qui envisage de mettre en oeuvre un tel traitement relève des dispositions du livre IV du code du travail relatives aux institutions représentatives des salariés au sein de l'entreprise, il doit procéder à la consultation de ces institutions préalablement à la décision de mise en oeuvre du traitement.
Lorsque le responsable qui envisage de mettre en oeuvre un tel traitement relève des dispositions des lois n° 84-16 du 11 janvier 1984 portant dispositions statutaires relatives à la fonction publique de l'Etat, n° 84-53 du 16 janvier 1984 portant dispositions statutaires relatives à la fonction publique territoriale et n° 86-33 du 9 janvier 1986 portant dispositions statutaires relatives à la fonction publique hospitalière, il doit procéder à l'information des comités mixtes paritaires dans les conditions prévues par l'article 15 du décret n° 82-452 du 28 mai 1982 relatif aux comités techniques paritaires et des articles 4 et 6 du décret n° 2000-815 du 25 août 2000 relatif à l'aménagement et à la réduction du temps de travail dans la fonction publique de l'Etat.
L'information des salariés ou agents publics sur les finalités et les fonctions du traitement, les destinataires des informations et les modalités d'exercice de leur droit d'accès et de rectification doit être également assurée par tout moyen approprié, notamment par voie d'affichage ou par la diffusion d'une note explicative préalablement à la mise en oeuvre du traitement.

Sécurités. - Des mesures de sécurité physique et logique doivent être prises afin de préserver la sécurité du traitement et des informations, d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

La présente délibération sera publiée au Journal officiel de la République française.