loi « informatique et libertés - belfort...club rh 3 d cembre 2009 subject: informatique, liberté...
TRANSCRIPT
3 décembre 2009 Loi "informatique et libertés" 1
Loi « Informatique et Libertés »
Textes applicablesTextes applicables
Loi n°78-17 du 6 janvier 1978, relative à l’informatique,
aux fichiers et aux libertés modifiée par la loi n°2004-801
du 6 août 2004 relative à la protection des personnes
3 décembre 2009 Loi "informatique et libertés" 2
du 6 août 2004 relative à la protection des personnes
physiques à l’égard des traitements de données à
caractère personnel.
� La commission nationale de l’informatique et des libertés a une
mission d’information, de proposition, de conseil, et de contrôle
sur les traitements informatisés.
� La CNIL est l’organisme auprès duquel les employeurs sont tenus
de déclarer préalablement toute constitution de fichier
La CNIL
de déclarer préalablement toute constitution de fichier
informatique.
3 décembre 2009 Loi "informatique et libertés" 3
Pouvoir de contrôle à prioriPouvoir de contrôle à posteriori
Les formalités
déclaratives
Pouvoir de
sanctions
Comment déclarer à la CNIL ?
• Principe : les entreprises doivent
préalablement à sa mise en œuvre déclarer
tout traitement automatisé de données à
caractère personnel.
Déclaration
« normale »
Déclaration
« normale »
Déclaration Déclaration
3 décembre 2009 Loi "informatique et libertés" 4
• Dès lors que strictement conforme à une norme
établie par la CNIL.
• Exemple : gestion des contrôles d’accès aux locaux.
Déclaration
« simplifiée »
Déclaration
« simplifiée »
• Pas de déclaration dans les domaines prévus par la
CNIL.
• Exemple : logiciel de traitement de la paye.
Dispense de
déclaration
Dispense de
déclaration
PLAN PLAN
I - Le recrutement du personnel
II - La gestion du personnel
III - Le contrôle de l’activité des salariés : Les obligations de
l’employeurl’employeur
A - Le contrôle de l’accès à l’entreprise
B - Le contrôle de l’activité par les communications
téléphoniques
C - Le contrôle de l’activité par la vidéosurveillance
D - Le contrôle des déplacements des salariés
E - Le contrôle de l’activité des salariés par l’outil informatique3 décembre 2009 Loi "informatique et libertés" 5
I - Le recrutement du
personnel
Les questionnaires d’embauche
Article L1121-1 du code du travail : « Nul ne peut
3 décembre 2009 Loi "informatique et libertés" 6
Article L1121-1 du code du travail : « Nul ne peut
apporter aux droits des personnes et aux libertés
individuelles et collectives
des restrictions qui ne seraient pas justifiées par la
nature de la tâche à accomplir ni proportionnées au
but recherché. »
Les questionnaires d’embauche
Questionnaires d’embauche, tests,
bilan de compétences,
logiciels d’auto-évaluation
3 décembre 2009 Loi "informatique et libertés" 7
Collecte de données nominatives = déclaration
« normale » préalable à la CNIL.
Information de tout candidat à un emploi des
méthodes utilisées.
Information préalable du CE.
Information du candidat :
�Identité du responsable du traitement;
�Finalité du traitement;
�Caractère obligatoire ou facultatif des réponses.
3 décembre 2009 Loi "informatique et libertés" 8
Tout candidat doit pouvoir obtenir sur demande et
dans un délai raisonnable les résultats d’analyse ou
tests.
Durée de conservation recommandée : 2 ans
II - La gestion du personnel
Simplification de la déclaration pour les fichiers informatiques
de la gestion du personnel
Sont concernés par la déclaration « simplifiée » :
3 décembre 2009 Loi "informatique et libertés" 9
Sont concernés par la déclaration « simplifiée » :
•La gestion administrative du personnel,
•La mise à disposition du personnel d’outils informatiques,
•L’organisation du travail,
•La gestion des carrières et de la mobilité,
•La formation du personnel.
Accès au dossier professionnel
Tout salarié ou ancien salarié peut demander un accès à son dossier
professionnel
Le droit d’accès concerne les domaines suivants :
3 décembre 2009 Loi "informatique et libertés" 10
Le droit d’accès concerne les domaines suivants :
• Son recrutement,
• Son historique de carrière,
• Sa rémunération,
• Evaluation de ses compétences,
professionnelles,
• Dossier disciplinaire.
Pas d’accès aux
données
prévisionnelles
Dispense de déclaration pour :
•La paie informatisée, la DADS ainsi que la gestion de la tenue
informatisée des registres obligatoires (DADS, déclaration TH,
registre unique du personnel…)
3 décembre 2009 Loi "informatique et libertés" 11
•Pour les fichiers de gestion des activités sociales et culturelles
du CE.
Les salariés doivent être préalablement informés par le CE
de l’objectif poursuivi, des destinataires, et de l’identité des
personnes pour exercer leur droit d’accès, de rectification et
opposition
III - Le contrôle de l’activité
des salariés
Si la mise en œuvre d’un système de contrôle et de surveillance implique la création
d’un traitement automatisé, l’employeur est tenu de :
Badges, écoutes téléphoniques, vidéosurveillance …
3 décembre 2009 Loi "informatique et libertés" 12
�S’assurer que les moyens utilisés sont proportionnés au but recherché ;
�Procéder préalablement une déclaration « simplifiée » à la CNIL ;
�Informer préalablement les salariés ;
�Information préalable du CE sur les moyens et techniques mis en œuvre pour
contrôler l’activité des salariés.
A défaut le mode de preuve utilisé est illicite.
Exemples de situation engendrant une déclaration préalable à la CNIL :
A - Contrôle de l’accès à l’entreprise
3 décembre 2009 Loi "informatique et libertés" 13
En cas de non déclaration à la CNIL, le fait pour un salarié de ne pas badger ne constitue pas un motif de licenciement
Système de Contrôle de l’accès à l’entreprise (Badge)
Information des salariés et des IRP
B - Contrôle de l’activité et de la
productivité par les communications
téléphoniques
Système d’autocommutateurs
téléphoniquesEcoute ou
3 décembre 2009 Loi "informatique et libertés" 14
téléphoniques
Factures détaillées
Ecoute ou enregistrement des
conversations téléphoniques
Contrôle par les communications téléphonique:
les autocommutateurs téléphoniques
� Procédure de mise en place des autocommutateurs:
� Consultation des représentants du personnel;
� Information des salariés sur les modalités de contrôle, les
destinataires des informations et l’existence du droit d’accès et de
rectification;
� Déclaration « simplifiée » à la CNIL.
3 décembre 2009 Loi "informatique et libertés" 15
Limites : proportion au but recherché
Durée de conservation des données : limitée à un an
Mesures particulières pour les représentants du personnel
Contrôle par les communications
téléphonique : les factures détaillées
Avis de la cour de cassation Position de la CNIL
3 décembre 2009 Loi "informatique et libertés" 16
Le fait de ne pas informer
préalablement les salariés
de La vérification par
l’employeur du relevé de
communication ne
constitue par un mode de
surveillance illicite
L’employeur doit informer
préalablement les salariés
lorsqu’il contrôle les
factures téléphoniques de
l’entreprise
Cass. Soc 6 avril 2004 : Les représentants du
personnel doivent disposer d’un matériel
excluant l’interception de leurs communications
téléphoniques et l’identification de leurs téléphoniques et l’identification de leurs
correspondants.
3 décembre 2009 Loi "informatique et libertés" 17
Les représentants du personnel doivent pouvoir disposer d’une ligne téléphonique non connectée à
l’autocommutateur et ne pouvant donner lieu à la production d’une facture détaillée.
Les écoutes ou en enregistrement des conversations téléphoniques
Principe : L’écoute ou l’enregistrement d’une personne
sans son consentement constitue une atteinte à
l’intimité de la vie privée condamnée par l’article 226-15
du code pénal.
3 décembre 2009 Loi "informatique et libertés" 18
Le seul fait d’aviser le salarié au préalable ne
permet pas à l’employeur de se soustraire de sa
responsabilité pénale.
Pour être licite les écoutes téléphoniques doivent :
� Etre ponctuelles, limitées, proportionnées et justifiées;
� Information et consultation des représentants du personnel;
� Information des salariés des objectifs poursuivis, des destinataires � Information des salariés des objectifs poursuivis, des destinataires
et de leurs droits d’accès aux enregistrements;
� Déclaration « normale » préalable à la CNIL;
� Le correspondant doit également être averti de cet enregistrement.
3 décembre 2009 Loi "informatique et libertés" 19
Durée de conservation : 6 mois
Contrôle des locaux de l’entreprise
Dans un lieu ouvert au public
C - Le contrôle de l’activité par la
vidéosurveillance
3 décembre 2009 Loi "informatique et libertés" 20
Licite sous conditions :
Information préalable des salariés
Information préalable du CE
Déclaration « simplifiée » à la CNIL
Dans un lieu ouvert au public
Particulièrement exposé au risque de vol ou agression
Dans un but unique de sécurité des personnes ou des
biens.
Conservation : 1 mois
La chambre sociale admet comme mode de
Hors lieux de travail (ex un entrepôt de marchandise)
3 décembre 2009 Loi "informatique et libertés" 21
La chambre sociale admet comme mode de
preuve des enregistrements vidéo de
salariés effectués à leur insu dans des locaux
où ils ne travaillaient pas.
�Selon la Cour de cassation : licite sans information préalable dès lors que les
enregistrements n’ont pas pour vocation d’enregistrer l’activité des salariés.
�La CNIL recommande une procédure d’information et déclaration.
D - Le contrôle de l’activité des salariés
en déplacement
� Déclaration « simplifiée » à la CNIL :
� Répondre à l’une des finalités suivantes : Respect d’une obligation
légale ou réglementaire en raison du type de transport ou la
nature des biens transportés ( transporteur de fonds) ;
� Suivi et la facturation d’une prestation de transport de personne, � Suivi et la facturation d’une prestation de transport de personne,
de service ou de marchandises (ramassage scolaire…) ;
� Améliorer l’allocation des moyens pour des prestations à
accomplir (ambulance) ;
� Pour la sûreté ou la sécurité de l’employé lui-même ou
marchandises ou véhicules dont il a la charge;
� Suivi du temps de travail lorsque ce suivi ne peut être réalisé par
d’autres moyens.3 décembre 2009 Loi "informatique et libertés" 22
� Limites au contrôle des déplacements :
� L’utilisation d’un dispositif de géolocalisation ne doit pas
conduire à un contrôle permanent de l’employé.
� Les salariés disposant d’un mandat électif ou syndical ne
doivent pas être l’objet d’une opération de géolocalisation doivent pas être l’objet d’une opération de géolocalisation
lorsqu’ils agissent dans le cadre de l’exercice de leur mandat.
�Durée limitée de conservation des données : 2 mois.
3 décembre 2009 Loi "informatique et libertés" 23
1 an : si la conservation a pour objectif une optimisation des tournées, ou moyen de preuve unique de la réalisation des tournées;
5 ans dans le cadre du suivi du temps de travail
� Seuls peuvent être destinataire des données :
�Le DRH;�Le DRH;
�La personne chargés d’assurer la sécurité des biens
transportés et des personnes ;
�Les personnes en charge de coordonner, planifier, ou
suivre les interventions.
3 décembre 2009 Loi "informatique et libertés" 24
E - Le contrôle de l’activité des salariés
par l’outil informatique
Contrôle de l’usage de la messagerie électronique
Contrôle des connexions
internet
3 décembre 2009 Loi "informatique et libertés" 25
électronique
Contrôle des fichiers
personnel
internet
Le contrôle des connexions internet des salariés
� Principe : Internet peut être utilisé à des fins
professionnelles mais aussi personnelles.
3 décembre 2009 Loi "informatique et libertés" 26
Droit du salarié à une vie privée sur
son lieu de travail
Problématique : concilier vie privée et liberté d’expression du salarié et droit de contrôle et de surveillance de l’employeur sur l’activité des
salariés.
Procédure de contrôle de l’utilisation d’internet
�Information des salariés;
3 décembre 2009 Loi "informatique et libertés" 27
�
�Information préalable du CE, à défaut les DP;
�L’atteinte aux droits doit être proportionné au but
recherché et justifiée par la tache à accomplir;
�Les logiciels permettant de surveiller les connexions
doivent être déclarés à la CNIL.
Contrôle des fichiers personnel
stockés sur le disque dur de
l’ordinateur du salarié ou de la messagerie
Dès lors que le salarié a identifié comme personnelsdes fichiers de son disque dur, l’employeur ne peutprocéder à leur ouverture que s’il respecte deuxconditions alternatives :
3 décembre 2009 Loi "informatique et libertés" 28
conditions alternatives :
�Présence du salarié ou du moins son information;�Et à défaut, l’existence d’un risque ou d’unévènement particulier dans l’entreprise.