Beaucoup d'entreprises demandent à leurs salariés de « pointer » en validant un badge sur un appareil de contrôle des temps. Certaines de ces badgeuses prennent en photo celui qui utilise un badge afin de contrôler le cas échéant si l'utilisateur du badge est bien son titulaire. Le but est évidemment de traquer les fraudes aux horaires : un collègue pourrait en effet pointer pour un titulaire afin de tricher sur les horaires de travail de ce dernier, vu comme présent par le système jusqu'à une certaine heure alors qu'il était parti avant. Pour la CNIL, ce contrôle du contrôle est excessif au regard des exigences du RGPD et doit donc être écarté dans la majorité des cas.

En effet, la CNIL rappelle que toutes les collectes de données personnelles doivent « être adéquates, pertinentes et limitées à ce qui est nécessaire au regard de [la] finalité [prévue] ». Saisie par des salariés contestant l'utilisation de badgeuses photos par leurs employeurs respectifs, la CNIL a jugé que « l'utilisation de badgeuses photo par les organismes contrevenait au principe de minimisation » [de collecte des données personnelles] dans les cas concernés. Les employeurs concernés ont donc reçu une mise en demeure de la CNIL de cesser d'utiliser ces badgeuses photos. Le non-respect de cette injonction dans un délai raisonnable pourrait déboucher sur des sanctions au titre du RGPD.

Le caractère excessif de la collecte de données, ici les photos des badgeurs, est caractérisé par le fait que les photographies ne sont, en pratique, jamais utilisées. « Les contrôles de la CNIL ont notamment permis de constater qu'en pratique, l'accès aux photographies pour contrôler les horaires des salariés était quasi inexistant, et qu'il n'y avait pas de procédure contentieuse initiée sur la base des informations collectées par ces dispositifs » note l'autorité administrative indépendante.