fiche
Gestion des données personnelles : rappel des précautions à prendre
A l'occasion de la 7e journée européenne de la protection des données personnelles et de la vie privée qui se déroulait le 28 janvier, la Cnil a édité 5 fiches thématiques sur les principales problématiques que soulève en entreprise l'utilisation des nouvelles technologies et les systèmes de surveillance.
Les informations collectées par l’entreprise lors d’un recrutement ne doivent servir qu’à évaluer la capacité du candidat à occuper l’emploi proposé. Ainsi, l’entreprise ne peut pas demander le numéro de sécurité sociale du candidat, pas plus que ses opinions politiques ou syndicales par exemple. Seules les personnes intervenant dans le processus de recrutement peuvent accéder aux informations relatives aux candidats.
Une fois passé le stade de la sélection, l’employeur peut, à l’occasion des formalités d’embauche, demander au nouveau collaborateur des informations complémentaires relatives à la gestion administrative du personnel (type de permis de conduire, personne à prévenir en cas d’urgence,…), à l’organisation du travail (photographie du salarié par exemple) et à l’action sociale prise en charge par l’employeur (identité des ayant-droits notamment). Seules les personnes chargées de la gestion du personnel peuvent y accéder. Les supérieurs hiérarchiques peuvent toutefois accéder aux informations nécessaires à l’exercice de leurs fonctions (données d’évaluations, rémunération…).
Attention ! Les candidats comme les salariés doivent être informés préalablement de la collecte des informations. D’ailleurs ils peuvent obtenir sur simple demande une copie des données les concernant.
Même si le candidat rencontré lors du processus d’embauche ne demande pas expressément la destruction de son dossier, l’entreprise devra toutefois le détruire dans un délai de 2 ans après le dernier contact. S’agissant des salariés, les données qui les concernent sont bien sûr conservées pendant toute la durée de la relation de travail. A l’issue de la relation de travail, une partie seulement de ces informations doivent être conservées par l’entreprise(bulletins de salaire notamment).
|
Formalités Cnil |
| Les fichiers mis en œuvre dans le cadre du recrutement doivent être déclarés à la Cnil(déclaration normale), ainsi que ceux relatifs à la gestion du personnel (déclaration simplifiée de conformité à la norme n°46 ou déclaration normale). |
Certaines entreprises installent des dispositifs de géolocalisation sur les véhicules qu’elles mettent à la disposition de leurs salariés. Il peut y avoir plusieurs raisons à cela : suivre, justifier et facturer une prestation de transport, assurer la sécurité de l’employé, des marchandises ou des véhicules dont il a la charge, etc. La Cnil incite toutefois à la prudence : un dispositif de géolocalisation ne peut pas être utilisé pour contrôler le respect des limitations de vitesse, pour contrôler un salarié en permanence ou pour calculer son temps de travail alors qu’un autre dispositif est déjà en place. Les salariés doivent en être informés et pouvoir accéder aux données enregistrées. Seuls les services concernés et l’employeur doivent pouvoir accéder aux données. Les informations ne doivent pas être conservées plus de 2 mois (sauf exceptions).
|
Formalités Cnil |
| Le dispositif de géolocalisation doit être déclaré à la Cnil par déclaration simplifiée de conformité à la norme n°NS-051 ou par déclaration normale. |
Pour assurer la sécurité des réseaux et limiter les risques d’abus d’une utilisation trop personnelle d’internet ou de la messagerie, un employeur peut contrôler et limiter l’utilisation d’internet (dispositifs de filtrage de sites, détection de virus…) et de la messagerie (outils de mesure de la fréquence des envois et/ou de la taille des messages, filtres « anti-spam »…). Il y a toutefois des règles à respecter. Par défaut, les courriels ont certes un caractère professionnel et l’employeur peut les lire, tout comme il peut prendre connaissance des sites consultés, y compris en dehors de la présence du salarié. Mais l’employeur ne peut pas recevoir en copie automatique tous les messages écrits ou reçus par ses salariés. Par ailleurs, un employeur ne peut pas librement consulter les courriels personnels de ses salariés, même s’il a interdit d’utiliser les outils de l’entreprise à des fins personnelles. Pour qu’ils soient protégés, les messages personnels doivent être identifiés comme tels (par exemple, en précisant dans leur objet « Personnel » ou « Privé », ou en les stockant dans un répertoire intitulé « Personnel » ou « Privé »). Les identifiants et mots de passe (session Windows, messagerie…) sont confidentiels et ne doivent pas être transmis à l’employeur.
|
Formalités Cnil |
| La mise à disposition d’outils informatiques sans contrôle individualisé de l’activité doit être déclarée à la Cnil par déclaration simplifiée de conformité à la norme simplifiée n°46 ou déclaration normale. |
L’employeur peut mettre en place des outils permettant de contrôler les entrées et sorties des salariés. Mais attention : ces dispositifs ne doivent pas avoir pour finalité de contrôler les déplacements à l’intérieur des locaux, ni d’entraver la liberté de déplacement des représentants du personnel dans l’exercice de leur mandat, ni de contrôler leurs heures de délégation. Les informations recueillies ne sont accessibles qu’aux membres habilités des services gérant le personnel, la paie ou la sécurité. L’employeur doit par ailleurs prévoir des habilitations pour les accès informatiques avec une traçabilité des actions effectuées. Les données ne peuvent pas être conservées plus de 3 mois (sauf celles concernant le suivi du temps de travail qui doivent être conservées 5 ans).
|
Formalités Cnil |
| ► Dispositifs sans biométrie :
Le contrôle d’accès et le contrôle des horaires peuvent faire l’objet d’un engagement de conformité à la norme simplifiée n°42. Les autres dispositifs d’une déclaration normale. Si l’entreprise a désigné un Correspondant informatique et libertés (CIL), aucune formalité n’est nécessaire auprès de la CNIL, le CIL devant noter ces dispositifs dans son registre. ► Dispositifs avec biométrie : Ils doivent faire l’objet d’un engagement de conformité à l’autorisation unique n° AU-007 (reconnaissance du contour de la main), autorisation unique n°AU-008 (reconnaissance de l’empreinte digitale) et autorisation unique n°AU-019 (reconnaissance du réseau veineux des doigts de la main). |
Vidéosurveillance sur les lieux de travail
Une entreprise peut installer des caméras de vidéosurveillance sur les lieux de travail à des fins de sécurité des biens et des personnes. Mais attention : ces caméras ne doivent pas filmer les salariés sur leur poste de travail sauf circonstances particulières (salariés manipulant de l’argent par exemple). Elles ne doivent pas non plus filmer les lieux de repos et les locaux syndicaux. Seules les personnes habilitées peuvent visionner les images enregistrées. La conservation des images ne doit pas excéder un mois. Les personnes concernées (employés et/ou visiteurs) doivent être informées de la présence de caméras via un panneau affiché de façon visible. Par ailleurs chacun des salariés doit être individuellement informé de l’existence de ce dispositif par avenant au contrat de travail ou note de service.
|
Formalités Cnil |
| Si les caméras filment un lieu non ouvert au public (lieux de stockage, réserves, zones dédiées au personnel), le dispositif doit être déclaré à la Cnil. Si les caméras filment un lieu ouvert au public (espaces d’entrée et de sortie du public, zones marchandes, comptoirs, caisses), le dispositif doit être autorisé par le préfet du département. |
Dans l’ensemble de ces situations, il ne faut pas oublier au préalable d’informer et de consulter les représentants du personnel.
Commentaires :