Accéder au contenu principal

Employeurs : faites le point sur vos déclarations à la CNIL et sur votre charte informatique


 Vous utilisez probablement dans votre entreprise des moyens informatiques pour gérer le personnel  ou vos locaux et équipements :
  • recrutement ;
  • suivi du temps de travail ;
  • gestion de carrières ;
  • dossiers de chaque salarié ;
  • gestion des œuvres sociales et culturelles ; 
  • relevés téléphoniques, autocommutateurs ; 
  • vidéosurveillance ;
  • géolocalisation ;
  • (...).

Avez-vous déclaré auprès de la CNIL ces fichiers, qui collectent et traitent des données à caractère personnel sur les salariés ?

A défaut, avez-vous désigné et déclaré un correspondant informatique et libertés (« CIL ») au sein de l’entreprise, ce qui exonère de déclaration la plupart des fichiers ?

Avez-vous mis en place une charte informatique qui fixe les règles d’utilisation des réseaux par les salariés ?

A défaut, avez-vous informé chaque salarié de l’éventuelle existence d’outils de contrôle et des modalités de contrôle de l’usage qu’ils font d’internet, de la messagerie, des dossiers enregistrés sur le serveur ?

Avez-vous fait le point sur tous ces éléments avec le comité d’entreprise ?

Il est important de faire le point sur les outils que vous utilisez, leurs conditions d’utilisation, l’éventuelle nécessité de déclaration à la CNIL.

Si vous négligez de le faire, vous pouvez être en difficulté par exemple pour sanctionner un salarié commettant des abus, ou être mis en difficulté par rapport à la collectivité des salariés qui découvriraient fortuitement l’existence d’un fichier contrôlant des données à caractère personnel.

Pour preuve, une affaire jugée en novembre 2016 par la 1ère chambre civile de la Cour de Cassation (ce n’est pas en matière sociale, mais cet arrêt illustre tout de même ce qui précède).

Une entreprise avait constaté la connexion, sur son réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site internet ; elle avait obtenu sur requête une ordonnance faisant injonction à divers fournisseurs d’accès à Internet de lui communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses, ce qui lui a permis de remonter jusqu'à un concurrent.

Ce dernier a alors demandé la rétractation de l’ordonnance du tribunal de commerce ayant autorisé la mesure d’instruction en soutenant qu’elle était illicite puisque l’adresse IP est une donnée à caractère personnel, et le fichier de conservation des adresses IP aurait dû être déclaré à la CNIL.

La cour d’appel avait jugé que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue donc pas une donnée même indirectement nominative et qu’en conséquence le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel.


La Cour de Cassation a cassé cette décision qui avait rejeté la demande de rétractation de l’ordonnance enjoignant aux fournisseurs d’accès de communiquer les coordonnées des personnes titulaires des adresses IP : elle a jugé que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Comprendre vite le Compte Personnel de Formation

le site mon-compte-formation.fr donne de l'information sur le fonctionnement du Compte Personnel de Formation et servira de plateforme de gestion des heures. On y trouve ce schéma explicatif :
Enregistrer un commentaire
Lire la suite

Petit-déjeuner formation sur la mise en place du nouveau Comité Social Economique

Les ordonnances « Macron » du 22 septembre 2018 ont créé le Comité Social Economique (« CSE ») qui se substitue aux anciens DP, CE, CHSCT et DUP et doit être implanté dès qu’est atteint le seuil de 11 salariés pendant douze mois consécutifs. Faites le point sur la mise en place et le fonctionnement du CSE au cours d’une série de petits-déjeuners d’une heure. Le premier petit-déjeuner se tiendra le vendredi 27 mars et portera sur la mise en place du CSE : le calcul des seuils (11/ 50 salariés) et leurs conséquences ; le moment de l’élection : les dispositions transitoires applicables à la durée des mandats jusqu’au 1 er janvier 2020 pour le passage des DP, CE, CHSCT et DUP au nouveau CSE ; un ou plusieurs établissement(s) : les conditions de la mise en place d’un CSE central d’entreprise et des CSE d’établissements ; le protocole préélectoral : contenu et négociation (entreprise de 11 à 20 salariés / entreprises de plus de 20 salariés) ; la composition du CSE.
Enregistrer un commentaire
Lire la suite

Du nouveau du côté des expertises du CHSCT

Lors de ses Rencontres de 2013, la chambre sociale de la Cour de cassation s’interrogeait sur la «  Croissance mal maîtrisée des missions du CHSCT  » (Bull. d’information, 15 septembre 2015, n° 787), dont elle constatait qu’il joue désormais un rôle clé, parfois de connivence avec le conseil d’entreprise, tout en étant dans la domination de l’expert, et préconisait une réécriture des textes relatifs au CHSCT (par une refonte dans le CE ou par une mise à plat sans fusion avec le CE). Cela a été partiellement entendu dans la loi n° 2015-994 du 17 août 2015 relative au dialogue social, dite Loi Rebsamen. I- La chambre sociale poursuit son œuvre et affine sa jurisprudence concernant le CHSCT et, notamment, son droit au recours à l’expertise. Pour mémoire, le CHSCT ne peut recourir à un expert agréé que dans deux hypothèses prévues à l’article L. 4614-12 du code du travail : d’une part, le risque grave constaté dans l’établissement et, d’autre part, l’existence d’un projet imp
Enregistrer un commentaire
Lire la suite