Loi « Informatique et Libertés - Belfort...Club RH 3 d cembre 2009 Subject: Informatique, liberté et GRH Created Date: 12/18/2009 10:41:50 AM Keywords ()

3 décembre 2009 Loi "informatique et libertés" 1

Loi « Informatique et Libertés »

Textes applicablesTextes applicables

Loi n°78-17 du 6 janvier 1978, relative à l’informatique,

aux fichiers et aux libertés modifiée par la loi n°2004-801

du 6 août 2004 relative à la protection des personnes


du 6 août 2004 relative à la protection des personnes

physiques à l’égard des traitements de données à

caractère personnel.

� La commission nationale de l’informatique et des libertés a une

mission d’information, de proposition, de conseil, et de contrôle

sur les traitements informatisés.

� La CNIL est l’organisme auprès duquel les employeurs sont tenus

de déclarer préalablement toute constitution de fichier

La CNIL

de déclarer préalablement toute constitution de fichier

informatique.


Pouvoir de contrôle à prioriPouvoir de contrôle à posteriori

Les formalités

déclaratives

Pouvoir de

sanctions

Comment déclarer à la CNIL ?

• Principe : les entreprises doivent

préalablement à sa mise en œuvre déclarer

tout traitement automatisé de données à

caractère personnel.

Déclaration

« normale »

Déclaration

« normale »

Déclaration Déclaration


• Dès lors que strictement conforme à une norme

établie par la CNIL.

• Exemple : gestion des contrôles d’accès aux locaux.

Déclaration

« simplifiée »

Déclaration

« simplifiée »

• Pas de déclaration dans les domaines prévus par la

CNIL.

• Exemple : logiciel de traitement de la paye.

Dispense de

déclaration

Dispense de

déclaration

PLAN PLAN

I - Le recrutement du personnel

II - La gestion du personnel

III - Le contrôle de l’activité des salariés : Les obligations de

l’employeurl’employeur

A - Le contrôle de l’accès à l’entreprise

B - Le contrôle de l’activité par les communications

téléphoniques

C - Le contrôle de l’activité par la vidéosurveillance

D - Le contrôle des déplacements des salariés

E - Le contrôle de l’activité des salariés par l’outil informatique3 décembre 2009 Loi "informatique et libertés" 5

I - Le recrutement du

personnel

Les questionnaires d’embauche

Article L1121-1 du code du travail : « Nul ne peut


Article L1121-1 du code du travail : « Nul ne peut

apporter aux droits des personnes et aux libertés

individuelles et collectives

des restrictions qui ne seraient pas justifiées par la

nature de la tâche à accomplir ni proportionnées au

but recherché. »

Les questionnaires d’embauche

Questionnaires d’embauche, tests,

bilan de compétences,

logiciels d’auto-évaluation


Collecte de données nominatives = déclaration

« normale » préalable à la CNIL.

Information de tout candidat à un emploi des

méthodes utilisées.

Information préalable du CE.

Information du candidat :

�Identité du responsable du traitement;

�Finalité du traitement;

�Caractère obligatoire ou facultatif des réponses.


Tout candidat doit pouvoir obtenir sur demande et

dans un délai raisonnable les résultats d’analyse ou

tests.

Durée de conservation recommandée : 2 ans

II - La gestion du personnel

Simplification de la déclaration pour les fichiers informatiques

de la gestion du personnel

Sont concernés par la déclaration « simplifiée » :


Sont concernés par la déclaration « simplifiée » :

•La gestion administrative du personnel,

•La mise à disposition du personnel d’outils informatiques,

•L’organisation du travail,

•La gestion des carrières et de la mobilité,

•La formation du personnel.

Accès au dossier professionnel

Tout salarié ou ancien salarié peut demander un accès à son dossier

professionnel

Le droit d’accès concerne les domaines suivants :


Le droit d’accès concerne les domaines suivants :

• Son recrutement,

• Son historique de carrière,

• Sa rémunération,

• Evaluation de ses compétences,

professionnelles,

• Dossier disciplinaire.

Pas d’accès aux

données

prévisionnelles

Dispense de déclaration pour :

•La paie informatisée, la DADS ainsi que la gestion de la tenue

informatisée des registres obligatoires (DADS, déclaration TH,

registre unique du personnel…)


•Pour les fichiers de gestion des activités sociales et culturelles

du CE.

Les salariés doivent être préalablement informés par le CE

de l’objectif poursuivi, des destinataires, et de l’identité des

personnes pour exercer leur droit d’accès, de rectification et

opposition

III - Le contrôle de l’activité

des salariés

Si la mise en œuvre d’un système de contrôle et de surveillance implique la création

d’un traitement automatisé, l’employeur est tenu de :

Badges, écoutes téléphoniques, vidéosurveillance …


�S’assurer que les moyens utilisés sont proportionnés au but recherché ;

�Procéder préalablement une déclaration « simplifiée » à la CNIL ;

�Informer préalablement les salariés ;

�Information préalable du CE sur les moyens et techniques mis en œuvre pour

contrôler l’activité des salariés.

A défaut le mode de preuve utilisé est illicite.

Exemples de situation engendrant une déclaration préalable à la CNIL :

A - Contrôle de l’accès à l’entreprise


En cas de non déclaration à la CNIL, le fait pour un salarié de ne pas badger ne constitue pas un motif de licenciement

Système de Contrôle de l’accès à l’entreprise (Badge)

Information des salariés et des IRP

B - Contrôle de l’activité et de la

productivité par les communications

téléphoniques

Système d’autocommutateurs

téléphoniquesEcoute ou


téléphoniques

Factures détaillées

Ecoute ou enregistrement des

conversations téléphoniques

Contrôle par les communications téléphonique:

les autocommutateurs téléphoniques

� Procédure de mise en place des autocommutateurs:

� Consultation des représentants du personnel;

� Information des salariés sur les modalités de contrôle, les

destinataires des informations et l’existence du droit d’accès et de

rectification;

� Déclaration « simplifiée » à la CNIL.


Limites : proportion au but recherché

Durée de conservation des données : limitée à un an

Mesures particulières pour les représentants du personnel

Contrôle par les communications

téléphonique : les factures détaillées

Avis de la cour de cassation Position de la CNIL


Le fait de ne pas informer

préalablement les salariés

de La vérification par

l’employeur du relevé de

communication ne

constitue par un mode de

surveillance illicite

L’employeur doit informer

préalablement les salariés

lorsqu’il contrôle les

factures téléphoniques de

l’entreprise

Cass. Soc 6 avril 2004 : Les représentants du

personnel doivent disposer d’un matériel

excluant l’interception de leurs communications

téléphoniques et l’identification de leurs téléphoniques et l’identification de leurs

correspondants.


Les représentants du personnel doivent pouvoir disposer d’une ligne téléphonique non connectée à

l’autocommutateur et ne pouvant donner lieu à la production d’une facture détaillée.

Les écoutes ou en enregistrement des conversations téléphoniques

Principe : L’écoute ou l’enregistrement d’une personne

sans son consentement constitue une atteinte à

l’intimité de la vie privée condamnée par l’article 226-15

du code pénal.


Le seul fait d’aviser le salarié au préalable ne

permet pas à l’employeur de se soustraire de sa

responsabilité pénale.

Pour être licite les écoutes téléphoniques doivent :

� Etre ponctuelles, limitées, proportionnées et justifiées;

� Information et consultation des représentants du personnel;

� Information des salariés des objectifs poursuivis, des destinataires � Information des salariés des objectifs poursuivis, des destinataires

et de leurs droits d’accès aux enregistrements;

� Déclaration « normale » préalable à la CNIL;

� Le correspondant doit également être averti de cet enregistrement.


Durée de conservation : 6 mois

Contrôle des locaux de l’entreprise

Dans un lieu ouvert au public

C - Le contrôle de l’activité par la

vidéosurveillance


Licite sous conditions :

Information préalable des salariés

Information préalable du CE

Déclaration « simplifiée » à la CNIL

Dans un lieu ouvert au public

Particulièrement exposé au risque de vol ou agression

Dans un but unique de sécurité des personnes ou des

biens.

Conservation : 1 mois

La chambre sociale admet comme mode de

Hors lieux de travail (ex un entrepôt de marchandise)


La chambre sociale admet comme mode de

preuve des enregistrements vidéo de

salariés effectués à leur insu dans des locaux

où ils ne travaillaient pas.

�Selon la Cour de cassation : licite sans information préalable dès lors que les

enregistrements n’ont pas pour vocation d’enregistrer l’activité des salariés.

�La CNIL recommande une procédure d’information et déclaration.

D - Le contrôle de l’activité des salariés

en déplacement

� Déclaration « simplifiée » à la CNIL :

� Répondre à l’une des finalités suivantes : Respect d’une obligation

légale ou réglementaire en raison du type de transport ou la

nature des biens transportés ( transporteur de fonds) ;

� Suivi et la facturation d’une prestation de transport de personne, � Suivi et la facturation d’une prestation de transport de personne,

de service ou de marchandises (ramassage scolaire…) ;

� Améliorer l’allocation des moyens pour des prestations à

accomplir (ambulance) ;

� Pour la sûreté ou la sécurité de l’employé lui-même ou

marchandises ou véhicules dont il a la charge;

� Suivi du temps de travail lorsque ce suivi ne peut être réalisé par

d’autres moyens.3 décembre 2009 Loi "informatique et libertés" 22

� Limites au contrôle des déplacements :

� L’utilisation d’un dispositif de géolocalisation ne doit pas

conduire à un contrôle permanent de l’employé.

� Les salariés disposant d’un mandat électif ou syndical ne

doivent pas être l’objet d’une opération de géolocalisation doivent pas être l’objet d’une opération de géolocalisation

lorsqu’ils agissent dans le cadre de l’exercice de leur mandat.

�Durée limitée de conservation des données : 2 mois.


1 an : si la conservation a pour objectif une optimisation des tournées, ou moyen de preuve unique de la réalisation des tournées;

5 ans dans le cadre du suivi du temps de travail

� Seuls peuvent être destinataire des données :

�Le DRH;�Le DRH;

�La personne chargés d’assurer la sécurité des biens

transportés et des personnes ;

�Les personnes en charge de coordonner, planifier, ou

suivre les interventions.


E - Le contrôle de l’activité des salariés

par l’outil informatique

Contrôle de l’usage de la messagerie électronique

Contrôle des connexions

internet


électronique

Contrôle des fichiers

personnel

internet

Le contrôle des connexions internet des salariés

� Principe : Internet peut être utilisé à des fins

professionnelles mais aussi personnelles.


Droit du salarié à une vie privée sur

son lieu de travail

Problématique : concilier vie privée et liberté d’expression du salarié et droit de contrôle et de surveillance de l’employeur sur l’activité des

salariés.

Procédure de contrôle de l’utilisation d’internet

�Information des salariés;


�

�Information préalable du CE, à défaut les DP;

�L’atteinte aux droits doit être proportionné au but

recherché et justifiée par la tache à accomplir;

�Les logiciels permettant de surveiller les connexions

doivent être déclarés à la CNIL.

Contrôle des fichiers personnel

stockés sur le disque dur de

l’ordinateur du salarié ou de la messagerie

Dès lors que le salarié a identifié comme personnelsdes fichiers de son disque dur, l’employeur ne peutprocéder à leur ouverture que s’il respecte deuxconditions alternatives :


conditions alternatives :

�Présence du salarié ou du moins son information;�Et à défaut, l’existence d’un risque ou d’unévènement particulier dans l’entreprise.

Documents

Loi « Informatique et Libertés - Belfort...Club RH 3 d cembre 2009 Subject: Informatique, liberté et GRH Created Date: 12/18/2009 10:41:50 AM Keywords ()