rencontres régionales de la cnil atelier thématique ... · et protection des données...

1

Commission Nationale de l ’Informat

Atelier thématique RH CNIL – 2008

Rencontres Régionales de la CNIL

Atelier thématique RESSOURCES HUMAINES

Sophie Vulliet-Tavernier, directrice des affaires juridiques


Programme

Gestion des ressources humaines Cybersurveillance sur les lieux de travail Géolocalisation BiométriesVidéosurveillanceAlertes professionnelles

2



Gestion des ressources humaineset protection des données personnelles


Résumé des procédures déclaratives

• La désignation d’un correspondant• Les dispenses de déclaration• L’engagement de conformité :

- à une norme simplifiée- à une autorisation unique

• La déclaration normale• La demande d’autorisation pour les traitements les plus

sensibles• Les procédures de demandes d’avis

3



Rappel sur l’identificationdes traitements « à risque »

• Les traitements de données :sensibles (origines raciales ou ethniques, opinions politiques… santé, vie

sexuelle)génétiquesbiométriquescomportant le NIR ou nécessitant la consultation du répertoire national

d’identification des personnes physiques géré par l’INSEEcomportant des appréciations sur les difficultés sociales des personnesportant sur des infractions ou condamnations

• Les interconnexions de fichiers différents• Les traitements susceptibles d’exclure les personnes du bénéfice d’undroit, d’une prestation ou d’un contrat en l’absence d’un cadre légal


NS 42

Exclusion des traitementsbiométriques

DECLARATIONSIMPLIFIEE(Si CIL : AUCUNE)

Gestion des contrôles d’accèsGestion des horairesGestion de la restaurationd’entreprise

Délibération n°80-34 du 21octobre 1980

AUCUNEComptabilité générale

Dispense n°2 (employeursprivés)

Exclusion des transferts dedonnées vers un pays tiersà l’Union Européenne

AUCUNEPaie (frais professionnels…)Déclarations obligatoires(DADS, DOETH, DPAE,déclarations AT)Tenue des registresobligatoires (RUP)Tenue des comptesindividuels d’intéressement etparticipationStatistiques non nominatives

CONDITIONSFORMALITESFINALITE

Traitements RH et la CNIL (1/4)

4



NS 46

Transferts de données versun pays tiers à l’Unioneuropéenne possibles

Exclusions :-traitements permettant lecontrôle individuel de l’activitédes employés-Dispositifs permettantl’établissement d’un profilpsychologique (exclusion destraitements de recrutement)Cf. recommandationrecrutement du 21 mars 2002

DECLARATIONSIMPLIFIEE (Si CIL :AUCUNE)

Fichiers courants de GRH :Gestion administrative(dossiers professionnels,annuaires internes, listesélectorales, convocations)Mise à disposition d’outilsinformatiques (suivi,maintenance, annuairesinformatiques, messageries,Internet)Organisation du travail(agendas professionnels,gestion des tâches)Gestion des carrières(évaluation, validation desacquis, mobilité…)Gestion de la formation





Autorisation unique n°4AUTORISATIONAlerte professionnelle

NS 47

Exclusions :- Ecoutes et enregistrementsd’appels téléphoniques- Localisation d’un employé àpartir d’un téléphone portable

DECLARATION SIMPLIFIEE(Si CIL : AUCUNE)

Mise en œuvre de services detéléphonie fixe et mobile surles lieux de travail

Gestion des communications(annuaire téléphoniquesinterne, gestion des dotations,messagerie téléphoniqueinterne, maîtrise desdépenses liées à l’utilisationdes services de téléphonie)

Autorisations uniques n°7 et 8AUTORISATIONDispositifs biométriques


Géolocalisation de salariés DECLARATION SIMPLIFIEE(Si CIL : AUCUNE)

NS 51

5



Déclaration normale(formulaire téléchargeable surwww.cnil.fr)

DECLARATION NORMALE(Si CIL : AUCUNE)

Dispense n°10

AUTORISATION

Tout autre traitementautomatisé, dès lors qu’il n’estpas conforme aux normesélaborées par la CNIL :- Traitements de contrôle del’activité professionnelle(vidéosurveillance,cybersurveillance)- Traitements de recrutement(bases de CV ou decandidats)- Fichiers médicaux gérés parla médecine du travail- Fichiers des CE de gestiondes œuvres sociales- Transferts de données horsUE




La cybersurveillancesur les lieux de travail

6



I

III

II

Le contrôle de la messagerie électronique

Le contrôle de l’utilisation d’internet

L’utilisation par les organisations syndicales del’intranet et de la messagerie électronique de

l’entreprise


I

III

II




l’entreprise

7



Solutions pour repérer les messagesà caractère personnel

• Classer les messages dans un dossier dit« personnel »

• Objet du message clairement identifié comme« personnel »


I

III

II




l’entreprise

8



Recommandations de la CNIL

• Principe : messagerie professionnelle utilisée àdes fins professionnelles

• Tolérance pour une utilisation privée


Possibilité pour l’employeur de fixer des limitesà une utilisation personnelle

• Dispositifs de filtrage à des sites non autorisés

• Interdiction de se connecter à un forum

• Interdiction d’accéder à une boite aux lettrespersonnelle par internet

9



Les moyens d’information des limitesfixées par l’employeur

⇒ Via une charte informatique


La mise en place d’un contrôlede l’utilisation d’internet

• Le contrôle individuel de l’utilisation d’internetconstitue un traitement de données à caractèrepersonnel

• Les points devant attirer l’attention : finalité, duréede conservation, information des personnes

10



Les logiciels de télémaintenance ne peuvent êtreutilisés par l’employeur à des fins de contrôle de

l’activité de ses salariés.

Attention ! Remarque sur le I et le II


I

III

II



L’utilisation par les organisations syndicalesde l’intranet et de la messagerie électronique

de l’entreprise

11



Utilisation syndicale de la messagerie etde l’intranet par voie d’accord d’entreprise

• Négociation des conditions d’utilisation de ces outils parles instances représentatives du personnel ou pourl’exercice d’un mandat syndical.

• L’utilisation des adresses de messagerie électroniquedes salariés est envisageable pour la mise à dispositionde publications et tracts de nature syndicale à conditiond’en informer les salariés au préalable pour qu’ilspuissent s’y opposer.


État de la dernière jurisprudencesur cette question

⇒ jugement du Tribunal administratif de Besançondu 19 décembre 2006 : une commune ne peutinterdire l’usage syndical de sa messagerieélectronique

12



• « Guide employeur »– www.cnil.fr : Dossier « Travail »

• Rapport « La cybersurveillance sur les lieux detravail » (2004)– www.cnil.fr : Dossier « Travail » « Surveillance des

salariés »

Documents utiles


Les nouveaux enjeux technologiques etla loi Informatique et Libertés :

- Géolocalisation -

13



Géolocalisation des employés (1/2)

• Depuis le 16 mars 2006 ce type de traitement peut fairel’objet d’une déclaration simplifiée préalable en référence à lanorme n°51• La CNIL a également adopté une recommandation :

– elle précise notamment que la surveillance desdéplacements ne devrait pas aboutir à un contrôlepermanent de l’employé et ne saurait être justifiéelorsqu’un employé dispose d’une liberté dans l’organisationde ses déplacements


• Pertinence de la durée de conservation :- si l’objectif poursuivi est l’optimisation des tournées en

temps réel : pas de conservation- si l’objectif poursuivi est le contrôle de l’activité des

salariés : au plus deux mois

Géolocalisation des employés (2/2)

14



Géolocalisation des particuliers (1/2)

• L'article 9 de la directive du 12 juillet 2002 pose leprincipe du consentement préalable des abonnés ou desutilisateurs avant le traitement de leurs données delocalisation : la personne dont le numéro a fait l'objet d'uneinscription au service de localisation devra valider cetteinscription par retour de message dans un délai de 24heures (le message de demande de confirmationd'inscription devrait lui être adressé, de manière aléatoire,dans un délai de 24 h) ;


• Nécessité d’une mention indiquant les sanctionsencourues en cas d'utilisation frauduleuse - pouvantporter atteinte à la vie privée (article 9 du Code civil) ;

• A chaque demande de localisation, la personne doit enêtre informée ;

• Elle doit également être informée qu’elle peut s'yopposer à tout moment, par un moyen simple.

Géolocalisation des particuliers (2/2)

15



Les nouveaux enjeux technologiqueset la loi Informatique et Libertés :

- Biométrie -


La prise en compte des principes « informatiqueet libertés » en matière de biométrie

• Les risques inhérents aux traitements biométriques– La problématique des traces : empreintes digitales et

palmaires, ADN– Les risques liés aux faux rejets et fausses acceptations– La multiplication de fichiers parallèles aux fichiers de

police : le risque de détournement de finalité

16



Les recommandations émises pour le respect de laprotection des données

• Rapports annuels de 2000 et 2001;• Guide pratique sur l’usage des empreintes

digitales 2008• Dossier biometrie sur www.cnil.fr


« Doctrine » de la CNIL

• Cas A : contrôle de la donnée biométrique par lapersonne, dans une carte à puce, un PC, clé USB …et non dans une base de données centralisée

=> Ok (ex : contrôles d’accés aux locaux)

17




• Cas B : donnée biométrique dans une basecentralisée

B1) données biométriques “sans trace” (rétine,contour de la main…)

=> Ok (ex : Centre ccial de La Défense,musée du Louvre, accés aux cantinesscolaires…)



• Cas B : donnée biométrique dans une basecentralisée

B2) données biométriques “avec traces” (empreintesdigitales, ADN, reconnaissance du visage, …)

=> Seulement dans les cas où un impératifde sécurité élevé peut le justifier (ex :centrales nucléaires, Banque de France, siteSeveso …)

18



Le contrôle a priori :

2006 - la CNIL a adopté trois autorisationsuniques en matière de biométrie afin d’encadrer lesmodalités d’utilisation et de simplifie les formalitésdéclaratives de certains dispositifs biométriques :


Trois autorisations uniques

• le contour de la main pour le contrôle d’accès, lagestion des horaires et de la restauration sur leslieux de travail ;

• l’empreinte digitale exclusivement enregistrée surun support individuel pour le contrôle de l’accèsaux locaux sur les lieux de travail ;

• le contour de la main pour l’accès au restaurantscolaire.

19



Vidéosurveillance


• Sont soumis à la loi informatique et libertés :– Dans les lieux publics ou ouverts au public les

enregistrements visuels de vidéosurveillance qui sont« utilisés dans des traitements automatisés ou contenus dansdes fichiers structurés selon des critères permettantd’identifier, directement ou indirectement, des personnesphysiques (art 10 I de la loi du 21 janvier 1995 modifiée)

– Dans les lieux privés, les systèmes qui procèdent à lacaptation d’images au moyen d’un procédé numérique et àl’enregistrement de celles-ci sur un support numérisé ouencore les systèmes qui permettent l’alimentation de fichiers.

Rappel du champ de compétence de la CNIL

20



• L’application du régime de la déclaration normale• Mais une procédure d’autorisation en cas de

système de vidéosurveillance couplé avec undispositif de reconnaissance faciale (biométrie)

Les procédures de formalités auprès de la CNIL


• La proportionnalité : privilégier les objectifs de sécurité; pas demise sous surveillance spécifique et permanente d’un employé ou d’ungroupe d’employés ;

• L’obligation d’information : pas de surveillance à l’insu despersonnes ;

– l’art 228-1 du code pénal prévoit une peine d’un an d’emprisonnement et de45000 euros d’amende le fait de porter volontairement atteinte à l’intimité de lavie privée d’autrui « en fixant, enregistrant ou transmettant, sans leconsentement de celle-ci, l’image d’une personne se trouvant dans un lieuprivé ».

• L’obligation de confidentialité : seuls les personnes dûmenthabilitées peuvent visionner les images; nécessité d’une durée deconservation limitée des images (ex: un mois).

Les principes à respecter

21



Dispositifsd’alertes professionnelles


• UN CHAMP LIMITÉ (pour l’autorisationunique n°004)Compte tenu du caractère complémentaire de cesdispositifs

– Domaines comptable, d’audit financier, de lutte contre lacorruption ou bancaire : des faits se rapportant à desrisques sérieux pour l’entreprise

Cadre posé par une autorisation unique

22



• Une soupape de sécurité : faits graves car mettant enjeu l’intérêt vital de l’entreprise ou l’intégritéphysique ou morale de ses employés

Exemples : harcèlement moral, harcèlement sexuel, discriminations, délitd’initié, conflit d’intérêts, atteinte grave à l’environnement ou à la santé publique,mise en danger d’un autre employé, divulgation d’un secret de fabrique

• Quand il y a une obligation légale de communiquerl’information à un organisme public ou à uneautorité compétente pour mener des poursuitespénales

Cadre posé par une autorisation unique


• Faits particulièrement graves :Peuvent être recueillis et éventuellement réorientésvers les personnes compétentes au sein del’entreprise

• Alertes sur des faits qui ne sont pas graves et hors duchamp :Réorienter l’émetteur vers le service compétent

Le traitement des alertes hors du champ

23



• Qui peut utiliser le dispositif d’alerte ?Définition par l’employeur selon le principe deproportionnalité

En pratique : tous les employés (/clients, fournisseurs)

• Qui peut faire l’objet d’une alerte ?Même règle

Les catégories de personnes concernées :définition par le responsable du dispositif


• L’émetteur de l’alerte professionnelle doits’identifier– Intérêt de l’employeur (déroulement de l’enquête,

climat de suspicion)– Intérêt de l’émetteur (protection, enquête tournée vers

l’émetteur)• mais son identité est traitée de façon confidentielle

(communiquée ni à la personne mise en cause, ni àsa hiérarchie – sauf nécessité liée à l’enquête-)

Identification versus Anonymat

24



• Si l’émetteur veut rester anonyme, son alerte esttraitée sérieusement mais avec des précautionsparticulières (par ex. : examen préalable, étiquetage « anonyme »,anonymisation,…)

• Quelles informations sur la possibilité d’utiliser lesystème anonymement ?– Pas de promotion ou d’encouragement– Ne pas afficher au moment de la prise de contact téléphonique– Mentionner dans l’information collective

Identification versus Anonymat (suite)


Champ du dispositifIdentité du responsable, finalités, destinataires des données,droits des personnes, transfert de données hors l’UE le caséchéant, existence et nom du prestataire extérieurRisques encourus en cas d’utilisation abusive du dispositifAbsence de risque disciplinaireConfidentialité de l’identité de l’émetteurAvantages de l’identificationPrécautions applicables au traitement d’alertes anonymes

La nécessité d’une information collectivesur le dispositif

25



• Une équipe de professionnels au sein de l’entreprise– Obligation renforcée de confidentialité (/obligation générale de

confidentialité)→Un partage limité de l’information (supérieur, collègues)

• La possibilité d’une organisation spécifique àl’échelle du groupe– La communication de données légitimes si nécessaire à la

vérification de l’alerte– Condition : application des règles sur les transferts de données

Une organisation dédiéeau traitement des alertes (1/2)


• La possibilité du recours à un prestataire extérieurCondition : le prestataire s’engage par contrat àrespecter les règles françaises et européennes deprotection des données y compris les règles spécifiques(champ restreint, anonymat…)

• Conclusion : la souplesse des mode d’organisation

Une organisation dédiéeau traitement des alertes (2/2)

26



• En principe dès l’enregistrement de données laconcernant afin de lui permettre de s’opposer autraitement de ces données

• Après les mesures conservatoires nécessaires à lapréservation des preuves

L’information de la personnefaisant l’objet de l’alerte


• Alerte hors du champ :Si transmise à une personne compétente de l’entreprise

compte tenu de sa gravité, information par le destinataire

Si archivée, information par le service « alertes »

Si détruite, aucune information

• Contenu de l’information : entité responsable, lesfaits reprochés, destinataires de l’alerte, modalitésd’exercice des droits d’accès et de rectification

L’information de la personnefaisant l’objet de l’alerte (suite)

27



• Conservation dans le système d’alerte : deux mois, àcompter de la fin des opérations de vérification

• À l’issue de cette période :- soit jusqu’à la fin de la procédure disciplinaire ou judiciaire- soit destruction ou archivage

• Archivage en dehors du système (accès restreint) : 30 ans- pour défendre les intérêts de l’entreprise en justice- à la demande de tiers autorisés- à la demande des personnes concernées exerçant leur droit d’accès

• Si alerte hors du champ : destruction ou archivage sans délai

Conservation des données : des durées limitées


• Droit d’avoir communication des données, sauf identité del’émetteur de l’alerte et informations recueillies par enquête(documents préparatoires)

• Droit de demander, si elles sont inexactes, incomplètes,équivoques ou périmées, la rectification ou la suppression

• Droit de s’opposer… pour des motifs légitimes– Exemple : Absence d’information sur l’existence du dispositif,

défaut manifeste de confidentialité

Droit d’accès, de rectification et d’opposition

28



• Autorisation unique n°4 (délibération du 8décembre 2005) – document d’orientation du 10novembre 2005

• FAQ : www.cnil.fr (dossier « Travail », rubrique« Alertes professionnelles »)

Documentation utile


Merci de votre attention !