Réf. : Rapport d'activité 2007 de la Cnil
Lecture: 8 min
N9849BEI
Citer l'article
Créer un lien vers ce contenu
par Stéphanie Martin-Cuenot, Ater à l'Université Montesquieu-Bordeaux IV
le 07 Octobre 2010
A - Champ de la protection
La loi "informatique et libertés", consolidée par la loi n° 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (N° Lexbase : L0722GTW, lire les obs. de Ch. Radé, La protection du salarié citoyen après la réforme de la loi informatique et libertés, Lexbase Hebdo n° 132 du 31 août 2004 - édition sociale N° Lexbase : N2603ABZ), protègent les données et le traitement des données à caractère personnel. Cette loi garantit le citoyen contre l'utilisation abusive de l'informatique (article 1er N° Lexbase : L4315AHB).
L'article 2 (N° Lexbase : L4316AHC) prévoit le champ d'application de la loi, définissant par là ce qu'est une "donnée à caractère personnel", ce que constitue un traitement de "données à caractère personnel" et ce qu'est un "fichier de données à caractère personnel".
L'article 3 (N° Lexbase : L4327AHQ) précise, ensuite, qui peut collecter ces données, quelles sont celles qui peuvent être collectées, qu'elles sont celles qui ne peuvent pas, en principe, l'être, à moins que la personne n'ait expressément donné son consentement et, enfin, que les conditions qui doivent être respectées.
La loi prévoit, en outre, les modalités de collecte de ces données, ainsi que les règles applicables à leur conservation (articles 6 N° Lexbase : L4357AHT et 7 N° Lexbase : L4358AHU). Ces deux articles insistent sur le caractère impératif de la licéité et de la loyauté à adopter la collecte des données, elle impose que la collecte ait lieu à des fins déterminées, que les informations soient adéquates, pertinentes et non excessives.
Elle précise que les données collectées doivent être exactes et complètes et qu'elles doivent faire l'objet d'une mise à jour, les données inexactes devant faire l'objet d'une rectification, ou être effacées. Elle impose, par ailleurs, que la conservation de ces données, sous une forme permettant l'identification des personnes concernées, ne peut excéder une certaine durée.
Après avoir posé ces bases, la loi "informatique et libertés" reconnaît aux particuliers plusieurs droits essentiels.
B - Droits des citoyens
Nous l'avons vu, le premier droit du citoyen est un droit d'information. Ce droit permet à toute personne de savoir si elle est "fichée" et d'exiger qu'on lui communique le nom et les fichiers dans lesquels elle se trouve. Cette communication du contenu des fichiers correspond au droit d'accès également reconnu à tout citoyen par la loi informatique et liberté. Ce droit lui permet de vérifier l'exactitude des données. Il est complété d'un droit de rectification, qui permet à la personne concernée de faire rectifier les erreurs, compléter, actualiser....
Le dernier droit reconnu aux citoyens, enfin, est un droit d'opposition, qui permet à toute personne de s'opposer à ce qu'elle figure dans un fichier.
L'article 7 impose que le consentement de la personne ait été recueilli ou que l'une des conditions qu'il énumère soit présente pour que ces données puissent être collectées et conservées. Parmi ces conditions, figurent le respect d'une obligation légale par le responsable du traitement, la sauvegarde de la vie de la personne concernée, l'exécution d'un service public, l'exécution d'un contrat et la réalisation de l'intérêt légitime poursuivi par le responsable du traitement.
Les professionnels sont tenus de faire une déclaration des fichiers auprès de la CNIL, ce qui permet des contrôles, non seulement du contenu, mais, encore, de la conservation des données collectées.
Ces règles sont applicables aux salariés, ce qui implique que les entreprises sont, en principe, tenues de les observer. Le rapport 2007 souligne, à cet égard, l'absence d'information des salariés de leurs droits en la matière et les violations répétées par les entreprises de leurs obligations légales.
II - Transfert des fichiers et droits des salariés
Concernant le contenu des fichiers, la CNIL souligne, dans son rapport, le renforcement des contrôles. Elle précise que, en 2007, les vérifications sur place, dans les entreprises, ont porté, essentiellement, sur les fichiers concernant les salariés. Singulièrement, ont été contrôlés les fichiers relatifs à la gestion des recrutements et des carrières, la géolocalisation des véhicules (GPS), les transferts de données à l'étranger, ainsi que le développement des lignes éthiques (1).
Ces contrôles ont permis de mettre en lumière de nombreuses irrégularités.
Il est précisé que plus d'un tiers des dossiers transmis à la formation contentieuse concerne le non-respect des obligations en matière d'information des personnes et de droit d'opposition, les atteintes à la vie privée, le fait de faire figurer sur des fichiers des données sur l'appartenance ethnique, des commentaires sur la vie privée, la santé.
Des problèmes ont, également, été relevés concernant l'absence de garanties de confidentialité des données.
Plusieurs points problématiques sont pointés du doigt par le rapport et, notamment, les fichiers des ressources humaines, les GPS embarqués dans les véhicules de société et les transferts transfrontaliers de données.
A - Le contenu des fichiers ressources humaines des entreprises passés "à la loupe"
Les fichiers ressources humaines de certaines sociétés ont été "épluchés". Il en ressort que plusieurs d'entre elles n'hésitent pas à faire figurer dans leurs fichiers "personnel" des commentaires subjectifs, contraires aux principes d'objectivité, d'adéquation et de pertinence des informations qui peuvent y figurer. Des sanctions ont été prises contre ces sociétés. Une entreprise a, par exemple, été condamnée à une amende de 40 000 euros pour ne pas avoir respecté les règles prévues concernant le contenu des fichiers, fait les déclaration et respecté les règles de conservation des données ou information sur les salariés qu'elle embauchait (décision de la CNIL du 11 décembre 2007, n° 2007-374, publiée le 11 avril 2008, Société service Innovation Groupe France (SIG)).
Les violations des droits des salariés ne s'arrêtent pas là, le rapport indique qu'ils se trouvent démultipliés par les transferts transfrontaliers de fichiers.
B - Difficultés résultant du transfert transfrontalier de données
La CNIL fait état, dans son rapport, de plusieurs difficultés consistant, notamment, dans le transfert des fichiers à l'étranger et leur conservation. Le rapport souligne, en effet, que ces transferts, parfois non autorisés, méconnaissent totalement les principes posés par la loi "informatique et libertés" et, en particulier, l'obligation de déclaration à la CNIL.
Le rapport précise, en effet, que lorsque les transferts de données ont lieu à destination d'un Etat non membre de la Communauté européenne, ils sont de nature à méconnaître les obligations résultant de la loi, notamment, celles imposant que les personnes (et, particulièrement, les salariés) figurant dans les fichiers transférés soient informées des transferts, mais, encore, et plus gravement, celles imposant au responsable du fichier de maîtriser la sécurité des données dont il est responsable. La loi impose, en effet, que le responsable du fichier connaisse le lieu (physique) de situation des fichiers et veille à ce que leur transfert se fasse de manière à garantir leur confidentialité. Une fois les données transférées, le responsable du fichier n'a plus aucune maîtrise sur ce dernier. Il ne peut, en outre, donner aucune garantie concernant la conservation (confidentialité) et la durée de conservation des fichiers qu'il a transférés.
Une autre difficulté transfrontalière réside dans la communication, par les sociétés françaises aux filiales américaines, de données dans le cadre de recherches de preuves en vue du règlement d'un litige.
Dans ce cadre, les sociétés mères et leurs filiales se voient contraintes de communiquer la copie de l'intégralité du contenu des disques durs ou des messageries électroniques de certains salariés, voire de l'ensemble du personnel de l'entreprise.
Le rapport souligne que ces demandes de communication d'informations sont contraires aux dispositions relatives à la protection des données concernant l'information des personnes, la proportionnalité du traitement effectué et les conditions du transfert des données. Les salariés ne sont, généralement, pas tenus informés de ces procédures, or, ce sont eux les principaux concernés.
Les sanctions susceptibles d'être prises contre les salariés ayant communiqué ces informations étant importantes, le rapport rappelle la protection dont disposent les sociétés françaises.
Le rapport précise que toute injonction doit faire l'objet d'une demande préalable d'entraide au bureau qui en est chargé au ministère de la Justice, lequel donne un avis favorable ou défavorable. La communication ne pourra donc avoir lieu que si le bureau a donné un avis favorable. Si une telle demande n'a pas été formulée, et tant que la réponse du bureau n'a pas été donnée, l'entreprise ne doit, en principe, pas communiquer ces données.
La loi du 26 juillet 1968 (loi n° 68-678, relative à la communication de documents et renseignements d'ordre économique N° Lexbase : L0265ATY) interdit, pour sa part, la communication d'informations tendant à la constitution de preuves judiciaires, à moins qu'il existe un accord permettant ces communications.
La SEC (securities and exchange commission, Commission des titres financiers et des bourses) et l'AMF (autorité des marchés financiers) ont conclu un accord.
Le rapport tient, sur ce point, à souligner que toute communication d'information demandée par la SEC, non relayée par l'AMF, est illégale. Il précise, en outre, que les entreprises qui n'auront pas trouvé le relais de l'AMF encourent des sanctions pénales pour avoir communiqué des informations.
Outre les difficultés transfrontalières, le rapport fait état des problèmes pouvant résulter de l'équipement des véhicules des employés par des GPS.
C - Géolocalisation des véhicules des salariés (2)
Certaines entreprises équipent les véhicules mis à disposition de leurs salariés de GPS. Ceci leur permet de savoir, à tout moment, où se situent les salariés. Les difficultés proviennent, généralement, de l'absence de précision, par ces sociétés, des finalités de ces équipements GPS. Il faut, en effet, prendre conscience que, en l'absence de telles précisions, ces entreprises s'exposent à ne pas pouvoir justifier d'une finalité légitime, or celle-ci est une condition nécessaire à la collecte de ces données. Il est donc important de mentionner l'objet de ces GPS, ce qui, tout à la fois, permet de justifier de la collecte et de l'utilisation des données, mais, encore, d'informer les salariés concernés par ces dispositifs.
Le rapport précise, en effet, que les salariés de ces entreprises ne sont, en outre, pas informés et ne peuvent donc faire valoir leur droit d'accès, d'opposition et de rectification des données collectées par les employeurs.
Il convient de se féliciter de ce rapport, qui permet tant aux employeurs qu'aux salariés d'être informés de leurs droit et obligations et ce, afin d'éviter les sanctions.
(1) Voir, en ce sens, la délibération de la CNIL n° 2005-110 du 26 juin 2005, relative à une demande d'autorisation de McDonald's France pour la mise en oeuvre d'un dispositif d'intégrité professionnelle (N° Lexbase : N6239AIW).
(2) Voir, en ce sens, la délibération de la CNIL n° 2006-066 du 16 mars 2006, portant adoption d'une recommandation relative à la mise en oeuvre de dispositifs destinés à géolocaliser les véhicules automobiles utilisés par les employés d'un organisme privé ou public (N° Lexbase : X6642ADD). Sur ce point, lire, également, Christine Baudoin, Avocat associé, LMT Avocats, spécialiste en droit social, La géolocalisation des salariés : enjeux juridiques et sociaux, Lexbase Hebdo n° 248 du 14 février 2007 - édition sociale (N° Lexbase : N0316BAX).
© Reproduction interdite, sauf autorisation écrite préalable
newsid:319849
Parcours utilisateur
Lexbase, via la solution Salesforce, utilisée uniquement pour des besoins internes, peut être amené à suivre une partie du parcours utilisateur afin d’améliorer l’expérience utilisateur et l’éventuelle relation commerciale. Il s’agit d’information uniquement dédiée à l’usage de Lexbase et elles ne sont communiquées à aucun tiers, autre que Salesforce qui s’est engagée à ne pas utiliser lesdites données.
Données analytiques
Nous attachons la plus grande importance au confort d'utilisation de notre site. Des informations essentielles fournies par Google Tag Manager comme le temps de lecture d'une revue, la facilité d'accès aux textes de loi ou encore la robustesse de nos readers nous permettent d'améliorer quotidiennement votre expérience utilisateur. Ces données sont exclusivement à usage interne.