Accéder au contenu principal

Employeurs : faites le point sur vos déclarations à la CNIL et sur votre charte informatique


 Vous utilisez probablement dans votre entreprise des moyens informatiques pour gérer le personnel  ou vos locaux et équipements :
  • recrutement ;
  • suivi du temps de travail ;
  • gestion de carrières ;
  • dossiers de chaque salarié ;
  • gestion des œuvres sociales et culturelles ; 
  • relevés téléphoniques, autocommutateurs ; 
  • vidéosurveillance ;
  • géolocalisation ;
  • (...).

Avez-vous déclaré auprès de la CNIL ces fichiers, qui collectent et traitent des données à caractère personnel sur les salariés ?

A défaut, avez-vous désigné et déclaré un correspondant informatique et libertés (« CIL ») au sein de l’entreprise, ce qui exonère de déclaration la plupart des fichiers ?

Avez-vous mis en place une charte informatique qui fixe les règles d’utilisation des réseaux par les salariés ?

A défaut, avez-vous informé chaque salarié de l’éventuelle existence d’outils de contrôle et des modalités de contrôle de l’usage qu’ils font d’internet, de la messagerie, des dossiers enregistrés sur le serveur ?

Avez-vous fait le point sur tous ces éléments avec le comité d’entreprise ?

Il est important de faire le point sur les outils que vous utilisez, leurs conditions d’utilisation, l’éventuelle nécessité de déclaration à la CNIL.

Si vous négligez de le faire, vous pouvez être en difficulté par exemple pour sanctionner un salarié commettant des abus, ou être mis en difficulté par rapport à la collectivité des salariés qui découvriraient fortuitement l’existence d’un fichier contrôlant des données à caractère personnel.

Pour preuve, une affaire jugée en novembre 2016 par la 1ère chambre civile de la Cour de Cassation (ce n’est pas en matière sociale, mais cet arrêt illustre tout de même ce qui précède).

Une entreprise avait constaté la connexion, sur son réseau informatique interne, d’ordinateurs extérieurs au groupe, mais faisant usage de codes d’accès réservés aux administrateurs du site internet ; elle avait obtenu sur requête une ordonnance faisant injonction à divers fournisseurs d’accès à Internet de lui communiquer les identités des titulaires des adresses IP utilisées pour les connexions litigieuses, ce qui lui a permis de remonter jusqu'à un concurrent.

Ce dernier a alors demandé la rétractation de l’ordonnance du tribunal de commerce ayant autorisé la mesure d’instruction en soutenant qu’elle était illicite puisque l’adresse IP est une donnée à caractère personnel, et le fichier de conservation des adresses IP aurait dû être déclaré à la CNIL.

La cour d’appel avait jugé que l’adresse IP, constituée d’une série de chiffres, se rapporte à un ordinateur et non à l’utilisateur, et ne constitue donc pas une donnée même indirectement nominative et qu’en conséquence le fait de conserver les adresses IP des ordinateurs ayant été utilisés pour se connecter, sans autorisation, sur le réseau informatique de l’entreprise, ne constitue pas un traitement de données à caractère personnel.


La Cour de Cassation a cassé cette décision qui avait rejeté la demande de rétractation de l’ordonnance enjoignant aux fournisseurs d’accès de communiquer les coordonnées des personnes titulaires des adresses IP : elle a jugé que les adresses IP, qui permettent d’identifier indirectement une personne physique, sont des données à caractère personnel, de sorte que leur collecte constitue un traitement de données à caractère personnel et doit faire l’objet d’une déclaration préalable auprès de la CNIL.

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Mettre en oeuvre le RGPD

Un guide de la Cnil et de BPI France destiné aux TPE-PME décrit les étapes de la mise en oeuvre du RGPD Guide pratique RGPD pour les TPE-PME
Enregistrer un commentaire
Lire la suite

Chefs d’entreprise, soyez prêts : le 1er janvier 2015, le Compte Personnel de Formation remplace le DIF

Le 1 er  janvier 2015, le DIF disparaît : il est remplacé par le Compte Personnel de Formation (« CPF ») dont chaque salarié bénéficiera dès son entrée dans la vie active et jusqu’à sa retraite. Il sera géré par la Caisse des Dépôt et Consignation (et sera consultable en ligne). Le 31 décembre 2014 au plus tard , tous les salariés devront avoir été informés par écrit sur le nombre d’heures de DIF acquis. Ces heures seront transférées sur le CPF (mais restent individualisées : elles s'ajoutent aux heures CPF acquises à compter du 1er janvier 2015). Alimentation du CPF : Le CPF est alimenté de 24h par année de travail à temps complet, dans la limite de 120 h . Puis il est alimenté de 12h par année de travail à temps complet, dans la limite de 150 h . L’employeur doit-il autoriser l’utilisation des heures du CPF ? Non si les heures de formation sont utilisées hors du temps de travail. Oui (accord à la fois sur le contenu et sur le...
Enregistrer un commentaire
Lire la suite

De nouveaux SALARIES PROTEGES : LES SALARIES ELUS LOCAUX !

Dans le but de faciliter l’exercice de leur mandat, les salariés élus locaux bénéficient de nouvelles garanties, accordées par une Loi du 31 mars 2015. Sont désormais considérés comme des salariés protégés au sens du code du travail les maires, adjoints aux maires de villes de 10 000 habitants au moins, les membres des conseils d’arrondissement des communes de Paris, Marseille et Lyon, et les présidents (et les vice-présidents ayant délégation de l’exécutif) des conseils départementaux au régionaux. L’employeur ne pourra les licencier qu’après autorisation de l’inspecteur du travail, comme pour les autres salariés protégés (et les procédures sont identiques). Cette protection concerne également la rupture de CDD, l’interruption d’une mission d’intérim, et s’applique aussi en cas de transfert d’entreprise. En revanche, contrairement aux autres salariés protégés, la protection s’achève dès la fin du mandat. Il y a d’autres changements: Les candidats aux élect...
Enregistrer un commentaire
Lire la suite