Vous utilisez probablement dans
votre entreprise des moyens informatiques pour gérer le personnel ou vos locaux et équipements :
- recrutement ;
- suivi du temps de travail ;
- gestion de carrières ;
- dossiers de chaque salarié ;
- gestion des œuvres sociales et culturelles ;
- relevés téléphoniques, autocommutateurs ;
- vidéosurveillance ;
- géolocalisation ;
- (...).
Avez-vous déclaré auprès de la
CNIL ces fichiers, qui collectent et traitent des données à caractère personnel
sur les salariés ?
A défaut, avez-vous désigné et
déclaré un correspondant informatique et libertés (« CIL ») au sein
de l’entreprise, ce qui exonère de déclaration la plupart des fichiers ?
Avez-vous mis en place une
charte informatique qui fixe les règles d’utilisation des réseaux par les
salariés ?
A défaut, avez-vous informé chaque
salarié de l’éventuelle existence d’outils de contrôle et des modalités de
contrôle de l’usage qu’ils font d’internet, de la messagerie, des dossiers
enregistrés sur le serveur ?
Avez-vous fait le point sur
tous ces éléments avec le comité d’entreprise ?
Il est important de faire le
point sur les outils que vous utilisez, leurs conditions d’utilisation, l’éventuelle
nécessité de déclaration à la CNIL.
Si vous négligez de le faire,
vous pouvez être en difficulté par exemple pour sanctionner un salarié
commettant des abus, ou être mis en difficulté par rapport à la collectivité
des salariés qui découvriraient fortuitement l’existence d’un fichier
contrôlant des données à caractère personnel.
Pour preuve, une affaire jugée
en novembre 2016 par la 1ère chambre civile de la Cour de Cassation
(ce n’est pas en matière sociale, mais cet arrêt illustre tout de même ce qui
précède).
Une entreprise avait constaté la connexion, sur son réseau
informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de
codes d’accès réservés aux administrateurs du site internet ; elle avait
obtenu sur requête une ordonnance faisant injonction à divers fournisseurs
d’accès à Internet de lui communiquer les identités des titulaires des adresses
IP utilisées pour les connexions litigieuses, ce qui lui a permis de remonter jusqu'à un concurrent.
Ce dernier a alors demandé la rétractation de l’ordonnance
du tribunal de commerce ayant autorisé la mesure d’instruction en soutenant qu’elle était illicite puisque l’adresse
IP est une donnée à caractère personnel, et le fichier de conservation des
adresses IP aurait dû être déclaré à la CNIL.
La
cour d’appel avait jugé que l’adresse IP, constituée d’une série de
chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue donc
pas une donnée même indirectement nominative et qu’en conséquence le fait de
conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter,
sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas
un traitement de données à caractère personnel.
La Cour de Cassation a cassé
cette décision qui avait rejeté la demande de rétractation de l’ordonnance enjoignant aux fournisseurs d’accès de communiquer les coordonnées des
personnes titulaires des adresses IP : elle a jugé que les adresses IP, qui permettent d’identifier indirectement une personne
physique, sont des données à caractère personnel, de sorte que leur collecte
constitue un traitement de données à caractère personnel et doit faire l’objet
d’une déclaration préalable auprès de la CNIL.
Commentaires
Enregistrer un commentaire