Guide CNIL
Contents
1. M 2 Combien de temps l employeur peut il garder les enregistrements Lorsque les enregistrements sont r alis s des fins de formation du per sonnel la Commission recommande une dur e de conservation maximale de 6 mois Lorsque les enregistrements sont r alis s des fins de preuve en mati re bancaire la dur e de conservation doit tre conforme aux articles 321 78 et 321 79 du R glement G n ral de l Autorit des March s Financiers cing ans maximum LA GESTION DE 9 En mati re d coutes t l phoniques la Commission recommande que les comptes rendus des conversations t l phoniques et grilles d analyse soient conserv s pour une dur e d un an maximum N FICHE OE 3 Comment d clarer L enregistrement des conversations t l phoniques doit faire l objet d une d claration normale aupr s de la CNIL si le dispositif d enregistrement repose sur des moyens num riques L coute des conversations t l phoniques doit faire l objet d une d claration normale aupr s de la CNIL si elle est suivie d un compte rendu ou d une grille d analyse En cas de d signation d un correspondant informatique et libert s aucune d claration n est n cessaire GUIDE POUR LES EMPLOYEURS ET LES SALARI S Ed LILI Fiche n 10 les dispositifs de g olocalisation gsm gps Certains employeurs quipent leurs v hicules professionnels de dispositifs de2. CUBE POUR LES EMPLOYEURS ET LES SALARIES Edition 2008 OGC Sommaire Avant propos page 2 Les 5 principes cl s respecter page 3 Il Les missions de la CNIL page 6 Ill Le correspondant CIL un vecteur de diffusion page 7 de la culture informatique et libert s Fiche n 1 Les op rations de recrutement page 8 Fiche n 2 Les annuaires du personnel page 12 Fiche n 3 L acc s au dossier professionnel page 13 Fiche n 4 La gestion des uvres sociales et culturelles page 15 Fiche n 5 Les transferts internationaux de donn es page 16 Fiche n 6 Contr le de l utilisation d internet et de la messagerie page 18 Fiche n 7 Les administrateurs r seau page 22 Fiche n 8 La vid osurveillance sur les lieux de travail page 24 Fiche n 9 La gestion de la t l phonie page 27 Fiche n 10 Les dispositifs de g olocalisation gsm gps page 31 Fiche n 11 Utilisation de badges sur le lieu de travail page 33 Fiche n 12 La biom trie sur le lieu de travail page 34 Mode d emploi Comment d clarer page 37 Tableau r capitulatif Quelle d claration pour quel fichier page 39 Exemples de notes d informations page 43 Ce guide est t l chargeable sur le site Internet de la CNIL www cnil fr ee ee E Avant propos sa Les entreprises et les administrations recourent de fa on croissante aux moyens informatiques pour g rer leurs ressources humaines L ensemble d
3. Ce guide a pour vocation de leur donner les cl s pour bien utiliser ces outils et les fichiers mis en uvre en mati re de gestion des ressources humaines C est aussi le but du correspondant informatique et libert s interlocuteur privil gi de la CNIL dont la d signation permet au del de l exon ration de d claration d int grer pleinement la probl matique de la protection des donn es personnelles Alex T RK Pr sident de la CNIL GUIDE POUR LES EMPLOYEURS ET LES SALARI S BAL IL IL LILILIL Les 5 principes cl s respecter E La loi Informatique et Libert s du 6 janvier 1978 modifi e par la loi du 6 ao t 2004 est applicable d s lors qu il existe un traitement automatis ou un fichier manuel c est dire un fichier informatique ou un fichier papier contenant des informations relatives des personnes physiques Elle d finit les principes respecter lors de la collecte du traitement et de la conservation de ces donn es et garantit un certain nombre de droits pour les personnes OE 1 Le principe de finalit Les donn es caract re personnel ne peuvent tre recueillies et trait es que pour un usage d termin et l gitime la mise en place d un autocommutateur t l phonique ou d un dispositif de localisation par GPS g olocalisation ne peut avoir pour objectif le contr le des conversations t l phoniques ou des d placements de salari s prot g s PRIN
4. LA GESTION DE Si toutefois le dispositif mis en place d passe le cadre pr vu par cette norme l employeur doit faire une d claration normale sauf en cas de d signation d un correspondant informatique et libert s dispense de d claration N 9 FICHE GUIDE POUR LES EMPLOYEURS ET LES SALARI S A LILLE IL IL IL Il L enregistrement des conversations t l phoniques sur le lieu de travail enregistrement des conversations t l phoniques ne peut tre r alis qu en cas de n cessit reconnue et doit tre proportionn aux objectifs poursuivis Par exemple un enregistrement pour des besoins de formation ne pourra tre r alis que sur une br ve p riode et en aucun cas de mani re per manente E 4 Quelles garanties pour les salari s gt Neutralisation de la fonction enregistrement pour les appels priv s En cas d enregistrement des communications t l phoniques il convient que les employ s disposent de lignes t l phoniques non reli es au syst me d enregistrement ou d un dispositif technique leur permettant en cas de conversation priv e de se mettre hors du champ du dispositif d enregistrement tant pour les appels entrants que sortants par exemple possibilit d utiliser une touche particuli re avant de composer un num ro de t l phone pour neutraliser la fonction d enregistrement Ces fonctionnalit s doivent tre offertes tout particuli rement dans le cas des salari
5. dans un fichier informatique sauf si celui ci r sulte d une obligation l gale ou r glementaire ex d clarations sociales obligatoires tenue du registre du personnel Par exemple une personne peut dans certaines conditions s opposer la mise en ligne de ses coordonn es professionnelles ou de sa photographie voir fiche n 2 OOCL E Il Les missions de la CNIL E La Commission nationale de l informatique et des libert s autorit administrative ind pendante est charg e d assurer le respect des dispositions de la loi du 6 janvier 1978 modifi e par la loi du 6 ao t 2004 LA CNIL M 1 Le r le de conseil et d information La CNIL conseille et renseigne les personnes et les organismes qui envisagent de mettre en uvre des fichiers informatiques que ce soit par t l phone par courrier ou par ses publications Elle s est dot e d un service d orientation et de renseignement afin d apporter une r ponse rapide aux requ tes des particuliers comme des professionnels sur l application de la loi M 2 Le contr le de la conformit des fichiers la loi LES MISSIONS DE La CNIL v rifie lors de l instruction des d clarations de fichiers qui lui sont adress es que les caract ristiques des traitements concern s sont bien conformes la loi et autorise la mise en uvre des traitements qui aux termes de la loi n cessitent une attention particuli re du fait de leur co
6. es et venues des personnes se rendant dans un local syndical OOOO E L g I 4 l obligation d information pas de surveillance l insu des personnes gt information des salari s et visiteurs Les personnes concern es employ s ou visiteurs doivent tre inform es au moyen d un panneau affich de fa on visible dans les locaux sous vid osurveillance de l existence du dispositif des destinataires des images ainsi que des modalit s concr tes d exercice de leur droit d acc s aux enregistrements visuels les concernant Voir mod le propos en annexe LIEUX DE TRAVAIL gt une consultation des repr sentants du personnel Les instances repr sentatives du personnel doivent tre consult es avant toute mise en uvre d un syst me de vid osurveillance et pr cis ment inform es des fonctionnalit s envisag es article L2323 32 du code du tra vail textes relatifs aux trois fonctions publiques lois n 84 16 du 11 janvier 1984 n 84 53 du 26 janvier 1984 et n 86 33 du 9 janvier 1986 LES O 5 Une visualisation des images restreinte aux seuls destinataires habilit s Les images enregistr es ne peuvent tre visionn es que par les seules personnes habilit es cet effet dans le cadre de leurs fonctions par exemple le responsable de la s curit de l organisme Ces personnes doivent tre particuli rement form es et sensibilis es aux r gles encadrant la mise en
7. par une obligation l gale e date d entr e en France e date de naturalisation e modalit s d acquisition de la nationalit fran aise e nationalit d origine e num ros d immatriculation ou d affiliation aux r gimes de s curit sociale e d tail de la situation militaire sous la forme objecteur de conscience ajourn r form motifs d exemption ou de r formation arme grade e adresse pr c dente e entourage familial du candidat nom pr nom nationalit profession et LES OP RATIONS DE RECRUTEMENT 1 employeur du conjoint ainsi que nom pr nom nationalit profession ae employeur des parents des beaux parents des fr res et sceurs et des a enfants I e tat de sant taille poids vue 9 LL e conditions de logement propri taire ou locataire e vie associative e domiciliation bancaire emprunts souscrits Enfin il est interdit de collecter et de conserver des donn es personnelles qui directement ou indirectement font appara tre les origines raciales ou ethniques les opinions politiques philosophiques ou religieuses ou les appartenances syndicales les informations relatives la sant ou la vie sexuelle des personnes L accord expr s exig par la loi qui doit tre recueilli par crit ne saurait lui seul justifier la collecte de telles donn es si ces derni res sont d pourvues de lien direct et n cessaire avec l emploi propos Aussi de telles inform
8. uvre d un syst me de vid osurveillance MG Une dur e de conservation des images limit e Les images ne devraient pas tre conserv es plus de quelques jours en effet en cas d incident la visualisation des images s effectue g n ralement rapidement Leur dur e de conservation ne doit en tout tat de cause s tendre au dela d un mois Lorsquec est techniquement possible une dur e maximale de conservation des images doit tre param tr e dans le syst me Elle ne doit pas tre fix e en fonction de la capacit technique de stockage de l enregistreur LA VID OSURVEILLANCE SUR 8 N M 7 Comment d clarer FICHE Un syst me de vid osurveillance num rique mis en place sur un lieu de travail ne peut tre install que s il a pr alablement fait l objet d une d claration normale aupr s de la CNIL sauf d signation d un correspon dant informatique et libert s Un syst me qui n aurait pas fait l objet d une d claration la CNIL ne peut tre oppos aux employ s GUIDE POUR LES EMPLOYEURS ET LES SALARI S EL LILLE IL IL IL Fiche n 9 la gestion de la t l phonie l L utilisation du t l phone au travail La possibilit d un usage personnel du t l phone est reconnue condition qu une telle utilisation demeure raisonnable et ne soit pas pr judiciable l employeur Il est ainsi l gitime qu un employeur s assure du caract re
9. INFORMATIONS ce panneau doit tre situ a l entr e de l tablissement et visible par les salari s et les personnes ext rieures tablissement sous vid osurveillance repr sentation graphique d une cam ra Nous vousinformons quecet tablissement est plac sous vid osurveillance pour des raisons de indiquer les finalit s poursuivies Pour tout renseignement s adresser au service ou a identifier la personne ou le service comp tent aupr s duquel vous pouvez galement exercer votre droit d acc s conform ment la loi n 78 17 du 6 janvier 1978 relative a l informatique aux fichiers et aux libert s modifi e par la loi du 6 ao t 2004 EXEMPLES DE M Note d information adress e au personnel g olocalisation a a gt indication de l identit du responsable du traitement Nous avons install dans les v hicules un systeme permettant de les localiser en temps r el Ce nouveau service va nous servir pr cisez ici la finalit par exemple rep rer le v hicule le plus proche la demande d un client Nous aurons connaissance de l itin raire que vous suivez ainsi que des arr ts que vous effectuez Les donn es relatives vos d placements sont conserv es au maximum pr cisez Au del toutes les donn es sont rendues anonymes et ont pour seul objet la r alisation de statistiques Seuls les services suivants sont destinataires de ces informations pr cise
10. La CNIL recommande que les personnes charg es du recrutement prennent toutes les dispositions n cessaires pour informer le candidat dans un d lai raisonnable e des suites donn es sa candidature e de la dur e de conservation des informations le concernant ainsi que de la possibilit d en demander la restitution ou la destruction e de toute ventuelle cession d informations avec d autres organismes de recrutement et de la possibilit de s y opposer e des m thodes et techniques d aide au recrutement utilis es son gard Les r sultats obtenus doivent rester confidentiels Les m thodes et techniques d aide au recrutement ou d valuation des candidats un emploi doivent tre pertinentes au regard de la finalit poursuivie La Commission recommande que l information concernant les m thodes d aide au recrutement employ es soit dispens e pr alablement par crit sous une forme individuelle ou collective Lorsque l identit de l employeur n a pas t pr cis e lors de l offre de poste il est recommand que l accord du candidat soit recueilli pr alablement la transmission de son CV cet employeur LES OP RATIONS DE RECRUTEMENT Dans le cas de sites de recrutements en ligne la CNIL recommande que le candidat l emploi soit inform de la forme nominative ou non sous 1 laquelle les informations le concernant seront ventuellement diffus es en Se ligne ou transmises au
11. Les personnes concern es par le dispositif biom trique doivent tre clairement inform es de ses conditions d utilisation de son caract re obligatoire ou facultatif des destinataires des informations et des modalit s d exercice de leurs droits d opposition d acc s et de rectification En outre et conform ment au Code du travail et la l gislation applicable la fonction publique territoriale les instances repr sentatives du personnel doivent le cas ch ant tre consult es et inform es avant la mise en uvre des dispositifs LA BIOM TRIE SUR 12 voir mod le propos en annexe FICHE N M 4 Le cas particulier des dispositifs reposant sur l enregistrement des empreintes digitales dans une base de donn es Dans une communication destin e mieux informer les salari s sur leurs droits et permettre aux entreprises et administrations de se poser les bonnes questions informatique et libert s la CNIL rappelle que e l empreinte digitale est une biom trie trace Chacun laisse des traces de ses empreintes digitales plus ou moins facilement exploitables dans beaucoup de circonstances de la vie courante sur un verre ou une poign e de porte etc OOOO E g e ces traces peuvent tre captur es linsu des personnes et tre utilis es notamment pour usurper leur identit Par cons quent ces dispositifs ne sont justifi s que s ils sont fond s sur un fo
12. aux articles 45 et suivants de la loi du 6 janvier 1978 modifi e la formation contentieuse de la CNIL a prononc le 11 d cembre 2007 une sanction p cuniaire d un montant de 40 000 euros l encontre de cette soci t compte tenu de la gravit des manquements constat s D lib ration n 2007 374 du 11 d cembre 2007 LES OP RATIONS DE RECRUTEMENT 1 OE 2 L information des candidats Lors de la collecte des donn es les candidats doivent tre inform s FICHE N e de l identit du responsable du traitement ex cabinet de recrutement X service des ressources humaines de la soci t Y e des finalit s du traitement ex gestion des candidatures e du caract re obligatoire ou facultatif des r ponses ex le recueil d informations sur les loisirs est facultatif e des cons quences leur gard d un d faut de r ponse e des personnes physiques ou morales destinataires des informations ex autres cabinets de recrutements e des conditions d exercice de leur droit d acc s et de rectification ainsi que de leur droit d opposition ex indication du service aupr s duquel ces droits peuvent tre exerc s Attention Lorsque des informations sur un candidat sont recueillies par voie de questionnaires papier ou de formulaires en ligne ceux ci doivent porter mention de ces prescriptions de fa on claire et lisible voir mod le propos en annexe OOoOooooog C M
13. non abusif de cette utilisation Ce contr le doit toutefois s op rer dans des conditions propres garantir le respect de la vie priv e et des libert s des personnels sur leur lieu de travail LA T L PHONIE M 1 La mise en place des autocommutateurs Les autocommutateurs sont des standards t l phoniques permettant d orienter l ensemble des num ros de t l phone appelants et des num ros appel s Ces appareils permettent m me l enregistrement des num ros de t l phone sortants de sorte que ces dispositifs sont susceptibles d tre utilis s afin d identifier les communications t l phoniques qui rel veraient d un usage non professionnel lls peuvent galement servir la comptabilisation statistique des flux en trants et sortants au niveau de l organisation d un service ou d un poste particulier Reli s des logiciels de taxation ils peuvent permettre d imputer et de contr ler par service ou par poste les d penses t l pho niques de l organisation LA GESTION DE 9 N E 2 La gestion des relev s t l phoniques FICHE Lorsque des relev s sont tablis ex facturation d taill e des op rateurs de t l phone les quatre derniers chiffres de ces num ros doivent tre occult s Les sup rieurs hi rarchiques ne doivent acc der aux num ros complets des relev s individuels que de fa on exceptionnelle par exemple en cas d utilisation manifestement a
14. que comptables ou financi res ex harc lement atteinte aux droits de propri t intellectuelle violation d un code de bonne conduite Dans tous les cas la d claration doit tre effectu e avant la mise en uvre du traitement Cette mise en uvre ne peut intervenir qu r ception du r c piss de d claration pour les d clarations simplifi es et normales ou de l autorisation de la CNIL pour les demandes d autorisation M Droit l information Conform ment aux dispositions du code du travail L2323 32 et aux textes relatifs aux trois fonctions publiques lois n 84 16 du 11 janvier 1984 n 84 53 du 26 janvier 1984 et n 86 33 du 9 janvier 1986 les instances repr sentatives du personnel doivent tre consult es et pr cis ment inform es des fonctionnalit s envisag es dans le cas de mise en uvre de traitements qui ont une incidence sur le personnel De plus le code du travail pr voit qu aucune information concernant directement un salari ne peut tre collect e par un dispositif qui n a pas t port pr alablement sa connaissance L1221 9 et L1222 4 Les employ s doivent dans tous les cas de figure tre inform s individuellement de l existence des traitements contenant des donn es personnelles les concernant par note affichage publication dans le journal interne courrier lectronique En application de la loi du 6 janvier 1978 modifi e les perso
15. s prot g s repr sentants du personnel ou syndicaux gt Information des salari s Outre la consultation des instances repr sentatives du personnel les salari s ainsi que leurs interlocuteurs doivent tre inform s pr alablement la mise en place du dispositif e des objectifs poursuivis par l installation de ce syst me e des cons quences individuelles qui pourront en r sulter e des destinataires des enregistrements e des modalit s d exercice de leur droit d acc s L information des interlocuteurs peut notamment tre r alis e par la diffusion d un message au d but de l appel ou par l insertion d une mention particuli re dans le document contractuel ou d information relatif au service t l phonique voir mod le propos en annexe Dans le cadre d enregistrements ou d coutes des fins de formation ou d valuation les salari s doivent tre inform s des p riodes pendant lesquelles leurs conversations sont susceptibles d tre enregistr es ou cout es OOOO E LA T L PHONIE LA GESTION DE N 9 FICHE M Si des proc dures disciplinaires sont susceptibles d tre engag es sur la base des enregistrements ou des comptes rendus les salari s doivent en tre explicitement inform s Attention Les principes expos s ci dessus sont galement applicables en cas d coute des conversations t l phoniques sans enregistrement LA T L PHONIE
16. 1978 modifi e en 2004 vous b n ficiez d un droit d acc s et de rectification aux informations qui vous concernent que vous pouvez exercer en vous adressant dits te sinettedestcmcineasedeeee pr ciser le service et l adresse vous pouvez galement pour des motifs l gitimes vous opposer au traitement des donn es vous concernant NOTES D INFORMATIONS M Note d information susceptible d tre affich e Le S service s citer le nom du ou des services responsables du traitement dispose nt de moyens informatiques destin s g rer plus facilement indiquer la finalit du traitement Les informations enregistr es sont r serv es l usage du ou des service s concern s et ne peuvent tre communiqu es qu aux destinataires suivants pr ciser les destinataires EXEMPLES DE Conform ment aux articles 39 et suivants de la loi n 78 17 du 6 janvier 1978 modifi e en 2004 relative l informatique aux fichiers et aux libert s toute personne peut obtenir communication et le cas ch ant rectification ou suppression des informations la concernant en s adressant au SOVIGR diner teach aantunteoenpes acte ene dut us citer le nom du service ou des services concern s M Courrier d information annuaire diffus sur internet Madame Monsieur Nous envisageons de diffuser prochainement sur notr
17. CIPES CL S RESPECTER Le fichier du personnel et l adresse lectronique des employ s ne peut tre utilis des fins de propagande politique Les informations enregistr es par un logiciel con u pour la r servation de billets de transports et d clar comme tel ne peuvent tre utilis es par un employeur pour contr ler l activit de ses salari s Cour d appel de Paris ch Soc 31 mai 1995 LES 5 Tout d tournement de finalit est passible de sanctions p nales Les objectifs poursuivis par la mise en place d une application informatique doivent donc tre au pr alable clairement d finis gestion des recrutements s curit du r seau informatique contr le du temps de travail etc M 2 Le principe de proportionnalit et de pertinence des donn es Seules doivent tre trait es les informations pertinentes et n cessaires au regard des objectifs poursuivis Par exemple le recueil d informations sur l entourage familial l tat de sant ou encore le num ro de s curit sociale d un candidat un recrutement n est pas pertinent L enregistrement de la situation familiale pr cise d un salari ne peut se justifier que pour l attribution d avantages sociaux particuliers au salari ou sa famille En outre comme le rappelle le code du travail la mise en place d un dispositif de contr le des salari s ne doit pas conduire apporter aux droits et libert s des personnes de res
18. IL www cnil fr rubrique D clarer e un sc nario en ligne d aide la d claration e tous renseignements utiles pour la d signation d un CIL Une permanence de renseignements juridiques par t l phone est assur e tous les jours de 10 heures 12 heures et de 14 heures 16 heures au 01 53 73 22 22 Vous pouvez en outre adresser toute demande par t l copie au 01 53 73 22 00 r ponse sous 15 jours en moyenne GUIDE POUR LES EMPLOYEURS ET LES SALARI S A IL LILLIE IL Agence Aristophane www cnil fr
19. IVES PARTICULI RES Paie AUCUNE Respecter les termes de la dispense n 1 D clarations fiscales employeurs publics et sociales obligatoires ou la dispense n 2 d clarations aux organismes employeurs priv s de protection sociale de du 9 d cembre 2004 retraite et de pr voyance DADS DUE travailleurs Attention Les transferts handicap s y compris de donn es vers un celles r alis es a partir de pays tiers l Union www net entreprises fr Europ enne ne sont pas dispens s Tenue des registres obligatoires registre unique du personnel Tenue des comptes individuels relatifs l int ressement et la participation Statistiques non nominatives li es l activit salari e dans l entreprise Tenue d une liste d initi s dans AUCUNE Respecter les termes les conditions fix es par le de la dispense n 9 Code des march s financiers du 6 juillet 2006 Comptabilit g n rale AUCUNE Respecter les termes de la dispense n 80 34 du 21 octobre 1980 Traitements mis en uvre AUCUNE Respecter les termes par les CE ou les d l gu s du personnel pour la gestion de leurs activit s sociales et culturelles de la dispense n 10 du 17 octobre 2006 e Gestion des contr les d acc s aux locaux e Gestion des horaires e Gestion de la restauration d entreprise D CLARATION SIMPLIFI E Si d signation d un correspondant informatique et libert s AUCUNE OOOO IE R
20. administrateur informatique avant l intervention sur son poste titre d illustration l accord peut tre donn par simple validation d un message d information apparaissant sur son cran e la tra abilit des op rations de maintenance par exemple par la tenue d un registre des interventions ainsi que la pr cision dans les contrats des personnes assurant la maintenance notamment en cas de recours des prestataires ext rieurs de leur obligation de n acc der qu aux donn es informatiques n cessaires l accomplissement de leurs missions et d en assurer la confidentialit LES ADMINISTRATEURS R SEAU L utilisation de ces logiciels des fins strictes de maintenance informatique n est pas soumise d claration aupr s de la CNIL N 7 FICHE ee Fiche n 8 la vid osurveillance sur les lieux de travail L tat actuel du droit se caract rise par la concurrence de deux r gimes juridiques applicables celui de la loi informatique et libert s du 6 janvier 1978 modifi e en 2004 et celui de l article 10 de la loi du 21 janvier 1995 modifi e d orientation et de programmation pour la s curit autorisation pr fectorale Ceci explique le caract re complexe du r gime juridique applicable en mati re de vid osurveillance LIEUX DE TRAVAIL Pour savoir quelle formalit pr alable est n cessaire il convient d abord de d terminer si le dispositif de vid osurveillance co
21. alit La mise en uvre d un syst me de vid osurveillance des employ s doit n cessairement respecter le principe de proportionnalit Elle doit donc s effectuer de fa on ad quate pertinente non excessive et strictement n cessaire l objectif poursuivi Si le d ploiement de tels dispositifs sur un lieu de travail r pond g n ralement un objectif s curitaire contr le des acc s aux locaux surveillance de zones de travail risques il ne peut ainsi avoir pour seul objectif la mise sous surveillance sp cifique d un employ d termin ou d un groupe particulier d employ s LA VID OSURVEILLANCE SUR 8 Le nombre l emplacement l orientation les fonctionnalit s et les p riodes de fonctionnement des cam ras ou la nature des t ches accomplies par les personnes devant tre soumises la vid osurveillance sont autant d l ments prendre en compte lors de l installation du syst me N FICHE L enregistrement du son associ aux images rend le syst me encore plus intrusif D s lors ce type d enregistrements est disproportionn sauf justification particuli re Exemples de syst mes de vid osurveillance susceptibles de pr senter un caract re ill gal installation de cam ras dans les vestiaires les douches les toilettes installation d un dispositif linsu des employ s ou de fa on non visible cam ra miniaturis e syst me permettant d enregistrer de fa on sp cifique les all
22. ans frais et sans justification L envoi d offres promotionnelles par voie lectronique est subordonn au recueil du consentement pr alable des personnes concern es GUIDE POUR LES EMPLOYEURS ET LES SALARI S ML IL ET CULTURELLES LA GESTION DES UVRES SOCIALES N 4 FICHE L a E 3 Comment d clarer Les traitements de gestion sociale ou culturelle les plus courants sont dispens s de d claration Pour b n ficier de cette dispense les traitements envisag s doivent tre conformes la dispense de d claration n 10 en date du 17 octobre 2006 disponible sur www cnil fr Dans tous les autres cas le CE doit adresser la CNIL une d claration normale ET CULTURELLES OE 4 Droits de mise jour ou de suppression des donn es S il constate la pr sence de donn es erron es ou interdites ex appr ciations subjectives opinions politiques sanctions amnisti es le salari ou ancien salari a le droit de demander la mise jour ou la suppression de ces donn es Si ces donn es ont t transmises des tiers d autres entreprises du groupe par exemple l employeur doit demander ces tiers leur mise jour ou leur suppression Lint ress peut demander l employeur de justifier sans frais qu il a bien pris en compte ses demandes de rectification ou de suppression des donn es II peut galement obtenir le remboursement des frais de copie que l employeu
23. ation d internet lesquelles ne constituent pas en soi des atteintes la vie priv e des salari s Par exemple L employeur peut mettre en place des dispositifs de filtrage de sites non autoris s sites caract re pornographique p dophile d incitation la haine raciale r visionnistes etc Il peut galement fixer des limites dict es par l exigence de s curit de l organisme telles que l interdiction de t l charger des logiciels l interdiction de se connecter un forum ou d utiliser le chat l interdiction d acc der une bo te aux lettres personnelle par internet compte tenu des risques de virus qu un tel acc s est susceptible de pr senter etc gt N cessit d informer les salari s Les salari s doivent tre inform s des dispositifs mis en place et des modalit s de contr le de l utilisation d internet e Le comit d entreprise doit avoir t consult et inform article L2323 32 du code du travail e Les salari s doivent tre inform s notamment de la finalit du dispositif de contr le et de la dur e pendant laquelle les donn es de connexion sont conserv es Une dur e de conservation de l ordre de six mois est suffisante dans la plupart des cas pour dissuader tout usage abusif d internet Si des proc dures disciplinaires sont susceptibles d tre engag es sur la base de ces fichiers les salari s doivent en tre explicitement inform s par exemple au moyen d une c
24. ations ne peuvent elles tre collect es que dans certains cas lorsqu elles sont d ment justifi es par la sp cificit du poste pourvoir Le recueil de r f rences aupr s de l environnement professionnel du candidat sup rieurs hi rarchiques coll gues ma tres de stages clients fournisseurs est permis d s lors que le candidat en a t pr alablement inform GUIDE POUR LES EMPLOYEURS ET LES SALARI S BL LILI L g Attention Les zones commentaires destin es enregistrer des informations de gestion telles des r sum s d entretien doivent comme toute donn e caract re personnel enregistr e dans un traitement tre pertinentes ad quates et non excessives au regard de la finalit du traitement La CNIL veille au respect de ces principes Il faut avoir esprit en r digeant ces zones commentaires que la personne concern e peut y avoir acc s tout moment Ainsi la suite d un contr le sur place effectu par une d l gation de la CNIL en d cembre 2006 il a t constat que des commentaires particuli rement subjectifs relatifs aux personnes ayant d j t employ es par une soci t mais qui n ont pas donn satisfaction figuraient dans le traitement de gestion des salari s qu elle avait mis en uvre Ainsi ont pu tre relev s des commentaires tels que trop chiante probl mes d hygi ne odeurs personne sans dents et qui boit Conform ment
25. aux de donn es N Lorsque le transfert de donn es concerne un pays de l Union europ enne il n a pas tre autoris par la CNIL FICHE En cas de transfert de donn es en dehors de l Union europ enne l employeur doit le pr ciser sur le formulaire de d claration et remplir une annexe transfert Il doit ainsi joindre au dossier les garanties de protection des donn es y aff rentes existence de clauses contractuelles types issues des directi ves europ ennes ou de r gles internes d entreprises BCR adh sion au safe harbor Le transfert doit ensuite faire l objet d une autorisation par la CNIL sauf dans certains cas bien sp cifiques par exemple entreprise destinataire adh rente au safe harbor OOCL EA Fiche n 6 contr le de l utilisation d internet et de la messagerie Pour l exercice de leur activit professionnelle les salari s ont leur disposition un poste de travail informatique qui peut tre connect internet et dot d une messagerie lectronique L utilisation sur les lieux de travail de ces outils informatiques des fins autres que professionnelles est g n ralement tol r e Elle doit rester raisonnable et ne doit pas affecter la s curit des r seaux ou la productivit de l entreprise ou de l administration concern e E 1 Le contr le de l utilisation d internet L employeur peut fixer les conditions et limites de l utilis
26. copie de lavis d imposition des ouvrants droit afin de proc der au calcul de la contribution de chacun en fonction de ses ressources En revanche le CE ne peut exiger la production de la d claration de revenus qui comporte des informations relevant de la vie priv e des int ress s Cour de Cassation chambre civile arr t du 29 mai 1984 n 82 12 232 E Information des salari s Les salari s doivent tre pr alablement inform s par le CE et le cas ch ant l employeur de l objectif poursuivi des destinataires des donn es ainsi que de l identit de la personne ou du service auquel ils peuvent s adresser pour exercer leurs droits d acc s de rectification et d opposition voir mod les propos s en annexe Par exemple affichage d une note d information dans les locaux remise d un document l employ mentions apparentes sur le questionnaire E 2 Droit d opposition e Tout salari a le droit de s opposer ce que le CE soit rendu destinataire de donn es le concernant par l employeur La transmission de ces donn es au CE ne peut tre que facultative le salari devant tre clairement inform des cons quences d un ventuel refus de sa part Par exemple application du tarif le plus lev ou exclusion du b n fice d une prestation e Lorsque les donn es sont utilis es des fins d offres promotionnelles les personnes concern es sont inform es qu elles peuvent s y opposer s
27. dans le cadre de la centralisation des bases de donn es ressources humaines de leur groupe Ces transferts ne devraient pas porter sur la totalit ou la quasi totalit des informations nominatives relatives aux salari s En particulier le num ro de s curit sociale ou les donn es touchant des aspects de la vie priv e des employ s ex d tails sur la situation familiale coordonn es bancaires paraissent a priori ne devoir relever que d une gestion locale DONN ES gt Information des salari s Outre les dispositions l gislatives concernant la consultation des instances repr sentatives du personnel les salari s doivent tre inform s pr alablement des transferts de donn es envisag s destination d un pays non membre de l Union europ enne INTERNATIONAUX DE Cette information doit tre r dig e en fran ais Elle doit pr ciser e le ou les pays d tablissement du destinataire des donn es e la nature des donn es transf r es ex identit salaire CV e la finalit du transfert envisag ex h bergement des donn es par une soci t trang re centralisation des donn es par la soci t m re des fins statistiques e la ou les cat gories de destinataires des donn es ex le service informatique personnes habilit s du service ressource humaines LES TRANSFERTS Voir mod le propos en annexe 5 OE 4 Comment d clarer les transferts internation
28. de l encombrement du r seau peuvent conduire les entreprises ou les administrations mettre en place des outils de contr le de la messagerie Par exemple outils de mesure de la fr quence de la taille des messages lectroniques outils d analyse des pi ces jointes d tection des virus filtres anti spam destin s r duire les messages non sollicit s etc gt N cessit d informer les salari s Les dispositifs de contr le de la messagerie doivent faire l objet d une consultation du comit d entreprise ou dans la fonction publique du comit technique paritaire ou de toute instance quivalente et d une information individuelle des salari s L UTILISATION D INTERNET ET DE lls doivent notamment tre inform s de la finalit du dispositif et de la dur e pendant laquelle les donn es de connexion sont conserv es ou sauvegard es En cas d archivage automatique des messages lectroniques ils doivent en outre tre inform s des modalit s de l archivage de la dur e de conservation des messages et des modalit s d exercice de leur droit d acc s CONTR LE DE gt Comment d clarer La messagerie professionnelle doit faire l objet d une d claration de conformit en r f rence la norme n 46 gestion des personnels des organismes publics et priv s 6 N Si un dispositif de contr le individuel de la messagerie est mis en place il doit tre d clar a la CNIL d claratio
29. de leurs r ponses des destinataires des donn es et des modalit s d exercice de leurs droits au titre de la loi Informatique et Libert s droit d acc s de rectification et d opposition Cette information peut tre diffus e par tout moyen appropri panneaux d affichage page protection des donn es ou informatique et libert s sur l intranet de l entreprise En outre lorsque les donn es sont recueillies par voie de questionnaires papier ou informatis ceux ci doivent comporter cette information PRINCIPES CL S RESPECTER Au del l employeur doit s assurer du respect des proc dures de consultation et d information obligatoires des instances repr sentatives du personnel Enfin l employeur doit adresser une d claration pr alable a la CNIL sauf pour les traitements les plus courants en cas de d signation d un correspondant informatique et libert s LES 5 gt Droits d acc s et de rectification Toute personne peut demander au d tenteur d un fichier de lui communiquer toutes les informations la concernant contenues dans ce fichier Elle a galement le droit de faire rectifier ou supprimer les informations erron es Par exemple un salari peut acc der son dossier professionnel voir fiche n 3 gt Droit d opposition Toute personne a le droit de s opposer pour des motifs l gitimes ce que des donn es caract re personnel la concernant soient enregistr es
30. e fait y compris par n gligence de proc der ou de faire proc der des traitements de donn es caract re personnel sans qu aient t respect es les formalit s pr alables leur mise en uvre pr vues par la loi est puni de cing ans d em prisonnement et de 300 000 d amende OOOO IEA L g pr vues par la loi en ce qui concerne la finalit du fichier s curit et confidentialit les droits des personnes ss M 4 Les formalit s particuli res Certains traitements peuvent relever d un r gime d autorisation ou de 2 demande d avis s agit de r gimes plus protecteurs qui s appliquent aux F fichiers consid r s comme sensibles ou comportant des risques pour a la vie priv e ou les libert s H gt La proc dure d autorisation art 25 concerne a eles traitements qui comportent des donn es sensibles num r es a l article 8 de la loi o e les traitements qui comportent des donn es relatives aux infractions ou o condamnations e les traitements qui comportent le num ro de s curit sociale NIR ou qui n cessitent une interrogation du r pertoire national d identification des z personnes physiques RNIPP a eles traitements qui proc dent l interconnexion de fichiers dont les finalit s principales sont diff rentes pA eles traitements de donn es comportant des appr ciations sur les difficult s sociales des personnes z
31. e les traitements qui utilisent des donn es biom triques o Le traitement devra respecter en tout point le cadre fix par l autorisation d livr e par la CNIL gt La proc dure de demande d avis art 27 concerne principalement les administrations ou les entreprises g rant un service public pour les fichiers comportant le num ro de s curit sociale NIR ou n cessitant une interrogation du r pertoire national d identification des personnes physiques RNIPP et les t l services de l administration lectronique comportant un identifiant des personnes physiques La demande d avis doit tre accompagn e d un projet d arr t ou de d cision de l organe d lib rant destin autoriser le traitement une fois l avis de la CNIL rendu M 5 Une fois le dossier compl t Dans le cas d une d claration en ligne la CNIL adresse imm diatement apr s envoi un accus de r ception lectronique La CNIL d livre ensuite par voie postale ou lectronique un r c piss de d claration indiquant le num ro sous lequel le traitement d clar est enregistr Pour les proc dures particuli res d autorisation ou d avis la CNIL adresse au d clarant une notification de l autorisation ou de l avis qu elle a rendu GUIDE POUR LES EMPLOYEURS ET LES SALARI S A LILI Tableau r capitulatif quelle d claration pour quel fichier FINALIT DU FICHIER FORMALIT S CONDITIONS D CLARAT
32. e n 11 utilisation de badges sur le lieu de travail Sur le lieu de travail les badges lectroniques cartes magn tiques ou puce servent notamment au contr le des acc s aux locaux la gestion des temps de travail ainsi qu la gestion de la restauration d entreprise Ces diff rents types de dispositifs qui comportent des donn es permet tant l identification des employ s sont soumis la loi informatique et libert s et ainsi que la Cour de cassation l a rappel dans son arr t du 6 avril 2004 doivent tre pr alablement d clar s aupr s de la CNIL sauf d signation d un correspondant informatique et libert s CE 1 Quelles garanties pr voir Chaque passage du badge dans un lecteur permet l enregistrement de donn es relatives son d tenteur Ces enregistrements pr sentent des risques d utilisation d tourn e et sont notamment susceptibles de tracer les d placements des salari s des fins de surveillance de leur activit Par ailleurs les enregistrements r alis s peuvent parfois permettre l employeur d acc der des informations priv es consommations de ses personnels au sein du restaurant d entreprise Des garanties particuli res doivent donc tre apport es par l employeur pour viter de tels d tournements de finalit Il doit notamment pr ciser e la finalit du dispositif ex contr le des acc s gestion des temps de pr sence e les informations
33. e site Internet indiquez ici le nom de domaine de votre site Exemple www monsite fr des informations vous concernant dans le cadre de A compl ter Exemples site internet d une administration d une association d un groupement professionnel d une entreprise etc Ces informations sont les suivantes Indiquez ici les informations que vous allez diffuser Exemples nom pr nom dipl me etc Compte tenu des caract ristiques du r seau Internet que sont la libre captation des informations diffus es et la difficult voire l impossibilit de contr ler l utilisation qui pourrait en tre faite par des tiers vous pouvez vous opposer une telle diffusion Pour que nous puissions prendre en compte votre refus contactez nous OOOO E __ ____________ __________g Attention En l absence de r ponse de votre part dans un d lai d un mois compter de la r ception de ce courrier votre accord sera r put acquis Vous pourrez toutefois nous faire part ult rieurement a tout moment de votre souhait que la diffusion de vos donn es sur Internet cesse Nous vous rappelons que vous disposez d un droit d acc s de modification de rectification et de suppression des donn es qui vous concernent Pour exercer ce droit adressez vous a indiquez ici adresse o les personnes peuvent exercer leur droit d acc s et de rectification M Panneau d information videosurveillance NOTES D
34. ec la personne concern e E 5 Comment d clarer Les applications de gestion du recrutement doivent pr alablement leur mise en uvre faire l objet d une d claration normale sauf d signation d un correspondant informatique et libert s dispense de d claration LES OP RATIONS DE RECRUTEMENT N 1 FICHE OOCOOOOOM Fiche n 2 les annuaires du personnel La constitution d un annuaire du personnel sur support informatis comportant l identit des salari s leur fonction leurs coordonn es professionnelles et le cas ch ant leur photographie constitue un traitement de donn es personnelles soumis aux dispositions de la loi du 6 janvier 1978 modifi e en 2004 Les annuaires du personnel ne doivent pas tre utilis s des fins commerciales ou politiques Distinction annuaire interne annuaire externe Annuaire interne annuaire accessible aux seuls membres du personnel diffus sur intranet ou sur format papier Annuaire externe annuaires accessibles d autres personnes que le personnel de l organisme ex annuaire publi sur internet LIM 4 La n cessit d informer les int ress s L employeur doit informer ses salari s pr alablement la mise en place d un annuaire de leurs droits d acc s de rectification et d opposition Cette information s effectue par la remise d un document crit ou par voie lectronique voir mod le pro
35. ement rappel e dans leur contrat ainsi que dans la x charte d utilisation des outils informatiques annex e au r glement int rieur 9 Ww de l entreprise ou de l administration gt Lutilisation des logiciels de prise de main a distance Les logiciels de prise de main a distance peuvent notamment permettre aux gestionnaires techniques d acc der distance l ensemble des donn es de n importe quel poste de travail a des fins de maintenance informatique Or la CNIL constate parfois que ces outils de t l maintenance ou de prise de main distance sont galement utilis s des fins de contr le par l employeur de l activit de ses employ s sur leur poste informatique Une telle utilisation n est ni conforme au principe de proportionnalit ni respectueuse du principe de finalit pos par la loi informatique et libert s GUIDE POUR LES EMPLOYEURS ET LES SALARIES A LL LILI LIL IL a M Dans l hypoth se d un recours ces outils des fins de maintenance informatique par un administrateur technique leur utilisation doit s entourer de pr cautions afin de garantir la transparence dans leur emploi et la confidentialit des donn es auxquelles le gestionnaire technique acc dera par ce moyen dans la stricte limite de ses besoins Doivent notamment figurer au titre de ces pr cautions e l information pr alable et le recueil de l accord de l utilisateur pour donner la main l
36. employeur doit r pondre imm diatement si la demande est effectu e sur place ou dans un d lai maximal de 2 mois si la demande est crite ou s il est impossible de r pondre imm diatement la demande sur place Son ventuel refus doit tre crit motiv et doit mentionner les voies et d lais de recours Une copie des donn es est d livr e l int ress sa demande Le simple co t de la copie peut ventuellement lui tre r clam Les codes sigles et abr viations figurant dans les documents communiqu s doivent tre expliqu s si n cessaire l aide d un lexique OOOO E PROFESSIONNEL L ACC S AU DOSSIER N 3 FICHE Fiche n 4 la gestion des uvres sociales et culturelles Qu il s agisse de la gestion des subventions des bourses des primes de cr ches des ch ques cadeaux des activit s de voyages sport ou loisirs les traitements informatis s mis en uvre par les comit s d entreprise CE ou d tablissement ainsi que par les comit s centraux d entreprises les comit s de groupe les comit s interentreprises ou les d l gu s du personnel enregistrent des donn es personnelles sur les salari s et doivent ce titre se conformer la loi informatique et libert s Ces informations doivent tre limit es celles qui sont strictement n cessaires au CE pour exercer ses fonctions l gales Par exemple Le CE peut tre amen demander la fourniture de la
37. es limitations de vitesse e doit n cessairement s accompagner de mesures de s curit limitant l acc s aux donn es de g olocalisation aux personnes habilit es e n cessite de fixer une dur e de conservation ad quate de ces donn es g n ralement 2 mois e implique au pr alable la consultation des instances repr sentatives du personnel et l information individuelle des employ s concern s relative la finalit du traitement les donn es trait es leur dur e de conservation les destinataires des donn es leurs droits d acc s de rectification et d opposition voir mod le propos en annexe e ne doit pas s appliquer aux employ s investis d un mandat lectif ou syndical lorsqu ils agissent dans le cadre de leur mandat CIC E LES DISPOSITIFS DE GEOLOCALISATION GSM GPS 10 FICHE N L g M 3 Comment d clarer Si le dispositif de g olocalisation des v hicules des employ s est en tout point conforme aux prescriptions de la norme simplifi e n 51 du 16 mars 2006 le responsable du traitement peut proc der en ligne une d clara tion de conformit cette norme Dans les autres cas il lui appartiendra d adresser une d claration normale la CNIL sauf d signation d un Correspondant informatique et libert s dispense de d claration LES DISPOSITIFS DE GEOLOCALISATION GSM GPS 10 FICHE N GUIDE POUR LES EMPLOYEURS ET LES SALARI S A LL LILLIE IL Fich
38. especter la norme simplifi e n 42 Cette norme ne concerne pas les traitements recourant un proc d de reconnaissance biom trique qui sont soumis une proc dure d autorisation FICHIER POUR QUEL QUELLE D CLARATION TABLEAU R CAPITULATIF Fichiers courants de gestion des ressources humaines e gestion administrative dossiers professionnels DECLARATION SIMPLIFIEE Si d signation d un correspondant informatique et libert s Respecter la norme simplifi e n 46 Cette norme exclut notamment e les traitements annuaires lections AUCUNE z professionnelles permettant le contr le convocations individuel de l activit des e mise disposition employ s d outils informatiques e les dispositifs ayant pour suivi et maintenance objet l tablissement du annuaires informatiques profil psychologique des messagerie lectronique employ s Intranet e organisation du travail e les transferts de donn es agenda professionnel vers un pays tiers a gestion des taches l union europ enne e gestion des carri res valuation validation des acquis mobilit e gestion de la formation Mise en uvre de services D CLARATION Respecter la norme de t l phonie fixe et mobile SIMPLIFI E simplifi e n 47 sur les lieux de travail Gestion des communications annuaire Si d signation d un correspondant informatique et libert s Cette norme exclut e
39. formation par message t l phonique enregistrement t l phonique EXEMPLES DE Nous vous informons que votre conversation t l phonique est susceptible d tre enregistr e pour des raisons de indiquer les finalit s poursuivies Vous pouvez vous opposez cet enregistrement de la mani re suivante pr ciser la proc dure suivre appui sur une touche t l phonique demande formuler l op rateur En cas d enregistrement des conversations ceux ci son conserv s pour une dur e de pr ciser la dur e Seules les personnes habilit es du service pr ciser le service par exemple le service client le auront acc s cet enregistrement Conform ment la loi informatique et libert s du 6 janvier 1978 modifi e en 2004 vous pouvez acc der et rectifier les informations qui vous concernent en vous adressant seeeeeeeeeeeeeeeeeeee eee pr ciser le service et l adresse M Notice d information en mati re de recrutement remettre au candidat TS indication de l identit du responsable du traitement Nous vous prions de bien vouloir compl ter soigneusement ce formulaire Les r ponses aux cases munies d un ast risque sont facultatives et sans cons quence pour l examen du dossier dans les autres cas le d faut r ponse est susceptible de compromettre le bon suivi de votre candidature OOOO EA A Conform ment au Code du travail nous vous inf
40. g olocalisation GPS GSM Compte tenu des risques d atteinte aux droits et libert s des personnes que comporte l utilisation de ces dispositifs la CNIL a estim n cessaire de pr ciser dans une recommandation du 16 mars 2006 les conditions dans lesquelles ils pouvaient tre utilis s M 1 Pourquoi g olocaliser les v hicules des employ s Un dispositif de g olocalisation peut tre mis en place pour les finalit s suivantes savoir ela contribution la s curit des personnes ou des marchandises transport es e une meilleure gestion des moyens en personnel et v hicules prestations accomplir en des lieux dispers s e le suivi et la facturation d une prestation e le suivi du temps de travail des employ s lorsque ce suivi ne peut tre r alis par d autres moyens En revanche le recours la g olocalisation n est pas justifi lorsqu un employ dispose d une libert dans l organisation de ses d placements visiteurs m dicaux VRP etc L utilisation d un dispositif de g olocalisation ne doit pas conduire un contr le permanent de l employ concern Ainsi la CNIL recom mande la d sactivation du syst me embarqu dans les v hicules de fonction des employ s en dehors des horaires de travail M 2 quelles conditions La mise en uvre d un traitement de g olocalisation e ne doit pas permettre la collecte d informations concernant les ventuels d passements d
41. harte gt Comment d clarer Lorsque l entreprise ou l administration met en place un dispositif de contr le individuel des salari s destin produire un relev des connexions ou des sites visit s poste par poste le traitement ainsi mis en uvre doit tre d clar la CNIL d claration normale sauf si un correspondant informatique et libert s a t d sign auquel cas aucune d claration n est n cessaire GUIDE POUR LES EMPLOYEURS ET LES SALARI S FILLE LA MESSAGERIE L UTILISATION D INTERNET ET DE CONTR LE DE N 6 FICHE a M Par exemple logiciel de contr le de l utilisation d internet permettant d analyser les donn es de connexion de chaque salari ou de calculer le temps pass sur internet par un salari d termin Lorsque l entreprise ou l administration met en place un dispositif qui ne permet pas de contr ler individuellement l activit des salari s ce dispositif peut faire l objet d une d claration de conformit en r f rence la norme simplifi e n 46 gestion des personnels des organismes publics et priv s LA MESSAGERIE Par exemple logiciel permettant seulement de r aliser des statistiques sur l utilisation d internet au niveau de l ensemble des salari s de l entreprise ou au niveau d un service d termin OE 2 Le contr le de l utilisation de la messagerie Des exigences de s curit de pr vention ou de contr le
42. isation unique applicable certains dispositifs biom triques Le principe est le suivant lorsque par exemple un employeur souhaite mettre en uvre un dispositif biom trique qui r pond aux conditions d finies dans ce cadre il peut b n ficier d une proc dure simplifi e II lui suffit alors d adresser la CNIL une simple d claration de conformit GUIDE POUR LES EMPLOYEURS ET LES SALARI S A CCL LA BIOM TRIE SUR LE LIEU DE TRAVAIL 12 FICHE N M Cette proc dure d autorisation unique s applique trois types de dispositifs reposant sur la reconnaissance e du contour de la main pour assurer le contr le d acc s au restaurant scolaire autorisation n AU 009 e du contour de la main pour assurer le contr le d acc s et la gestion des horaires et de la restauration sur les lieux de travail autorisation n AU 008 ede l empreinte digitale exclusivement enregistr e sur un support individuel d tenu par la personne concern e pour contr ler l acc s aux locaux professionnels autorisation n AU 007 LIEU DE TRAVAIL LE Attention L utilisation de dispositifs de reconnaissance biom trique pour la gestion des contr les d acc s aux locaux des horaires et de la restauration ne peut tre d clar e en r f rence la norme simplifi e n 42 relative aux traitements de contr le d acc s D 3 La n cessaire information pr alable des int ress s
43. ives aux fichiers relevant de la d claration simplifi e et de la d claration normale Le formulaire de d signation d un CIL est accessible sur le site www cnil fr COMMENT D CLARER MM 1 Les dispenses de d claration D EMPLOI Un certain nombre de traitements d crits dans le tableau r capitulatif figurant ci apr s sont dispens s de d claration par une d cision de la CNIL paie du personnel comptabilit MODE Attention Le fait d tre exon r ne signifie pas pour autant que vous n avez aucune obligation Vous devez notamment garantir le droit d information des personnes ainsi que la s curit des donn es voir mod les propos s en annexe E 2 La d claration simplifi e La plupart des fichiers des entreprises ou administrations peuvent faire l objet de d clarations simplifi es qui se font en ligne sur le site de la CNIL www cnil fr rubrique D clarer M 3 La d claration normale Le r gime de droit commun est la d claration normale lorsque le fichier ne rel ve pas d une proc dure particuli re art 22 de la loi du 6 janvier 1978 modifi e en 2004 Le traitement peut tre mis en uvre d s r ception du r c piss d livr par la CNIL Le r c piss atteste de l accomplissement des formalit s de d claration mais n exon re pas le responsable du respect des autres obligations 1 Article 226 16 du code p nal L
44. l de sorte que employeur peut y acc der librement La Cour de cassation consid re qu un message envoy ou re u depuis le poste de travail mis disposition par l employeur rev t un caract re professionnel sauf s il est identifi comme tant personnel dans l objet du message par exemple Cour de cassation 30 mai 2007 Il appartient l employ d identifier les messages qui sont personnels d faut d une telle identification les messages sont pr sum s tre professionnels L UTILISATION D INTERNET ET DE La nature personnelle d un message peut figurer dans l objet du message ou dans le nom du r pertoire dans lequel il est stock La CNIL recommande de porter la connaissance des salari s par exemple dans une charte le principe retenu pour diff rencier les e mails professionnels des e mails personnels qualification par l objet cr ation d un r pertoire sp cifique d di au contenu priv etc CONTR LE DE gt Le cas des fichiers et des r pertoires cr s par un employ ll a t jug que les fichiers cr s par un salari grace l outil informatique mis sa disposition pour l ex cution de son travail sont pr sum s sauf si le salari les identifie comme tant personnels avoir un caract re professionnel Cour de cassation 18 octobre 2006 N 6 FICHE Tout fichier qui n est pas identifi comme personnel est r put tre professionnel de sorte que l e
45. l suffit de remplir le formulaire t l chargeable sur le site internet de la CNIL Comment le CIL pourrait il elle tre form e La CNIL propose des ateliers d information gratuits g n ralistes et th matiques anim s par ses propres experts Quelle relation avec la CNIL La CNIL a mis en place un service sp cifique pour garantir au CIL une r ponse rapide et de qualit Il s agit d un guichet unique pour toutes les questions juridiques ou les clairages li s l exercice de la fonction D autres avantages Le CIL est un interlocuteur privil gi de la CNIL Ses demandes sont donc trait es en priorit II fait partie du r seau des CIL anim s par la CNIL Il participe la r flexion li e l volution de la fonction la cr ation d outils de travail des textes juridiques ee eee EA DE LA CULTURE LE CORRESPONDANT CIL Fiche n 1 les op rations de recrutement M 1 Quelles sont les donn es qui peuvent tre collect es Les informations demand es sous quelque forme que ce soit au candidat un emploi ont pour finalit d appr cier sa capacit occuper l emploi propos Elles doivent pr senter un lien direct et n cessaire avec l emploi propos ou avec l valuation des aptitudes professionnelles du candidat La collecte des informations suivantes n est pas pertinente sauf cas particuliers justifi s par la nature tr s sp cifique du poste pourvoir ou
46. mployeur peut y acc der hors la pr sence du salari GUIDE POUR LES EMPLOYEURS ET LES SALARI S EI JLI A En revanche si un fichier est identifi comme tant personnel l employeur ne peut y avoir acc s qu en pr sence du salari ou si celui ci a t d ment appel ou en cas de risque ou v nement particulier Par exemple il a t jug que la d couverte de photos rotiques dans le tiroir d un salari ne constituait pas un risque ou un v nement particulier justifiant que l employeur acc de au r pertoire intitul perso hors la pr sence du salari ou sans que celui ci en soit inform LA MESSAGERIE gt Lemploy doit ex cuter son contrat de travail de bonne foi Lemploy ne doit pas transformer des messages de nature professionnelle en correspondance priv e Par exemple Un employ ne doit pas communiquer des documents confidentiels un concurrent en identifiant ses messages comme tant personnels Une telle identification serait contraire au principe de bon ne foi pr vu l article L1222 1 du Code du travail La Cour de cassation a ainsi admis apr s avoir constat que l employeur avait des motifs l gitimes de suspecter des actes de concurrence d loyale qu un employeur puisse tre autoris par le juge mandater un huissier de justice pour prendre connaissance et enregistrer des messages lectroniques chang s entre le salari et deux personnes tra
47. n normale sauf d signation d un correspondant informatique et libert s FICHE Par exemple logiciel d analyse du contenu des messages lectroniques entrant ou sortants destin s au contr le de l activit des salari s OOOO E L g M 3 L acc s au poste informatique ou la messagerie gt L employeur doit respecter le secret des correspondances priv es Une communication lectronique mise ou re ue par un employ peut avoir le caract re d une correspondance priv e La violation du secret des correspondances est une infraction p nalement sanctionn e par les articles L 226 15 pour le secteur priv et L 432 9 pour le secteur public du Code p nal LA MESSAGERIE La Cour de cassation a affirm dans un arr t du 2 octobre 2001 arr t Nikon qu un employeur ne saurait prendre connaissance de messages personnels d un employ sans porter atteinte la vie priv e de celui ci article 9 du code civil et au principe du secret des correspondances article 226 15 du code p nal quand bien m me une utilisation des fins priv es aurait t proscrite par l employeur Pour autant le principe du secret des correspondances conna t des limites dans la sph re professionnelle Il peut galement tre lev dans le cadre d une instruction p nale ou par une d cision de justice gt Tout ce qui n est pas identifi comme personnel est r put tre professionne
48. ncerne un lieu public ou ouvert au public ou un lieu priv ou non ouvert au public LES Distinction lieu public lieu priv e lieu public ou ouvert au public tout lieu du secteur public ou du secteur priv o le public peut acc der Exemple le guichet d une mairie ou un supermarch e lieu priv lieu non ouvert au public tout lieu du secteur public ou du secteur priv o le public ne peut pas acc der Exemple la cha ne de montage d une entreprise automobile le parking r serv au personnel d une entreprise un entrep t ou des bureaux ferm s au public Le r gime juridique est clair dans deux cas e Premier cas seule une autorisation pr fectorale est n cessaire quand le dispositif de vid osurveillance est install dans un lieu public ou ouvert au public et qu aucune image n est enregistr e ni conserv e dans des traitements informatis s ou des fichiers structur s qui permettent d identifier des personnes physiques LA VIDEOSURVEILLANCE SUR 8 N e Deuxi me cas seule une d claration aupr s de la CNIL est n cessaire quand le dispositif est install dans un lieu priv ou non ouvert au public et que les images sont enregistr es ou conserv es dans des traitements informatis s ou des fichiers structur s qui permettent d identifier des personnes physiques FICHE Le r gime juridique n est pas clair et pose probleme lorsque le dispositif de vid osurveillance es
49. nformatique et libert s ET LIBERT S Le correspondant doit si possible tre un employ du responsable de traitement correspondant interne car connaissant mieux a priori l activit et le fonctionnement interne de son entreprise ou de son administration il est m me de veiller en temps r el la bonne application des r gles et des conditions de mise en uvre des traitements Mais il est aussi possible de d signer un correspondant n appartenant pas l organisme correspondant externe UN VECTEUR DE DIFFUSION INFORMATIQUE Pour s acquitter de sa t che quel que soit son statut le correspondant informatique et libert s doit disposer de la libert d action et des moyens qui lui permettront de recommander des solutions organisationnelles ou techniques adapt es II doit pouvoir exercer pleinement ses missions en dehors de toute pression et jouer son r le aupr s du responsable de traitement Le CIL Quelques informations pratiques Pourquoi d signer un CIL Sa d signation qui est facultative exon re de d claration la plupart des fichiers Il contribue une meilleure application de la loi Quels avantages pour l organisme Le CIL est un acteur de la s curit juridique au sein de l organisme Son action peut prendre plusieurs formes le conseil la recommandation la sensibilisation la m diation et l alerte en cas de disfonctionnement Comment d signer un CIL C est simple i
50. ng res l entreprise Cour de cassation 23 mai 2007 gt Lemploy est il tenu de communiquer ses mots de passe Si un employ est absent l employeur peut lui demander de communiquer son mot de passe lorsque les informations d tenues par cet employ sont n cessaires la poursuite de l activit de l entreprise Cour de cassation 18 mars 2003 L employeur ne doit pas acc der au contenu personnel de l int ress L UTILISATION D INTERNET ET DE La CNIL recommande que les modalit s d acc s de l employeur aux donn es stock es sur l environnement informatique d un employ absent soient pr alablement d finies en concertation et diffus es aupr s de l ensemble des salari s susceptibles d tre concern s via une charte par exemple CONTR LE DE gt Comment organiser la fermeture du compte utilisateur lors du d part de l employ Les modalit s de fermeture du compte sont pr voir dans la charte informatique Il est recommand l employeur d avertir le salari de la date de fermeture de son compte afin que ce dernier puisse vider son espace priv 6 N gt Que faire en cas de difficult En cas de contestation il appartient aux juridictions comp tentes d appr cier la r gularit et la proportionnalit de l acc s par l employeur au poste informatique ou la messagerie de l employ CIC E FICHE Fiche n 7 les administrateurs E r seau Les administra
51. nnels concern s doivent tre inform s de la ou des finalit s et fonctionnalit s pr cises de chaque traitement automatis mis en uvre par l employeur des cons quences individuelles qui pourront en r sulter par exemple un contr le des destinataires des donn es enregistr es et de leur droit d acc s d opposition et de rectification ces donn es cet gard la d claration adress e la CNIL doit pr ciser les mesures relatives l information individuelle des salari s Toute personne peut obtenir communication de la liste des traitements d clar s au sein d un organisme sur simple demande crite article 31 de la loi du 6 janvier 1978 modifi e Le contenu d un dossier de d claration peut tre communiqu au titre de la loi dite CADA du 17 juillet 1978 GUIDE POUR LES EMPLOYEURS ET LES SALARI S A EL LIL IL IL IL FICHIER POUR QUEL QUELLE DECLARATION TABLEAU RECAPITULATIF Exemples de notes d informations EX Ces exemples doivent tre adapt s par le responsable du traitement M Mention d information porter sur les formulaires de collecte lhiamresies are ouate ts indication de l identit du responsable du traitement Les informations recueillies font l objet d un traitement informatique destin pr ciser la finalit Les destinataires des donn es sont eara AEN or cisez Conform ment la loi informatique et libert s du 6 janvier
52. normale du t l phone par un salari Bien entendu un salari doit avoir la possibilit d acc der aux num ros de t l phone complets compos s depuis son poste t l phonique notamment lorsqu il lui est demand le remboursement du co t des communications t l phoniques pr sum es personnelles La dur e de conservation des donn es relatives l utilisation des services de t l phonie ne doit pas exc der un an OOOO E L g I 3 Les droits sp cifiques des employ s prot g s Toute utilisation des informations issues de l utilisation des services de t l phonie pour un contr le des appels mis et re us par les repr sentants du personnel et les repr sentants syndicaux dans le cadre de leur mandat est interdite Depuis un arr t de la Cour de Cassation du 6 avril 2004 les employ s investis d un mandat lectif ou syndical doivent pouvoir disposer d un mat riel excluant l interception de leurs communications t l phoniques et l identification de leurs correspondants par exemple via une ligne non connect e l autocommutateur ou ne pouvant donner lieu la production d une facturation d taill e LA T L PHONIE M 4 Comment d clarer Concernant les fichiers mis en uvre dans le cadre de l utilisation de service de t l phonie fixe et mobile l employeur a la possibilit d effectuer une d claration de conformit la norme simplifi e n 47
53. ntenu ou de leur finalit Elle peut simplifier les formalit s d claratives voire exon rer de d claration certains fichiers La CNIL re oit les plaintes concernant le non respect de la loi La CNIL dispose d un pouvoir de contr le qui permet ses membres et ses agents d acc der tous les locaux professionnels Sur place ses membres et agents peuvent demander communication de tout document n cessaire et en prendre copie recueillir tout renseignement utile et acc der aux programmes informatiques et aux donn es OE 3 Le pouvoir de sanction Au titre de son pouvoir de sanction la CNIL peut notamment e adresser des avertissements et des mises en demeure de faire cesser un manquement la loi e prononcer une injonction de cesser le traitement ou un retrait de l autorisation et en cas d urgence d cider l interruption du traitement ou le verrouillage des donn es e prononcer des sanctions p cuniaires pouvant aller jusqu 300 000 en cas de r it ration e d noncer au parquet les infractions a la loi dont elle a connaissance GUIDE POUR LES EMPLOYEURS ET LES SALARIES LILI Ill Le correspondant CIL un vecteur de diffusion de la culture informatique et libert s institu en 2004 l occasion de la refonte de la loi du 6 janvier 1978 le correspondant la protection des donn es ou correspondant informatique et libert s CIL est un acteur et un relais incontournable de la culture i
54. ormale t l chargeable sur le site de la CNIL www cnil fr rubrique d clarer mode d emploi Pour les fichiers de recrutement se r f rer la recommandation n 02 017 du 21 mars 2002 Dispositifs biom triques reconnaissance du contour de la main pour assurer le contr le d acc s et la gestion des horaires et de la restauration sur les lieux de travail AUTORISATION UNIQUE Respecter les termes de l autorisation unique AU 008 Dispositifs biom triques reconnaissance de l empreinte digitale exclusivement enregistr e sur un support individuel d tenu par la personne concern e pour contr ler l acc s aux locaux professionnels AUTORISATION UNIQUE Respecter les termes de l autorisation unique AU 007 Dispositifs d alerte professionnelle lignes thiques dans le domaine financier comptable bancaire et de la lutte contre la corruption AUTORISATION UNIQUE CIC E Respecter les termes de l autorisation unique AU 004 M FICHIER POUR QUEL QUELLE D CLARATION TABLEAU R CAPITULATIF Autres dispositifs biom triques AUTORISATION Un syst me recourant par exemple un proc d de reconnaissance des empreintes digitales avec base centrale ne peut tre mis en uvre sans l autorisation pr alable de la CNIL Autres dispositifs d alertes professionnelles AUTORISATION Un dispositif permettant de signaler des violations autres
55. ormons que la proc dure de recrutement utilis e par notre soci t comprend pr ciser par exemple des entretiens ventuellement une analyse graphologique et ou des tests psychotechniques Dans ce dernier cas il convient d ajouter Les r sultats de ces tests vous seront restitu s sur demande ils ne seront conserv s dans votre dossier qu en cas d embauche Nous vous informons que les donn es vous concernant sont ou ne sont pas informatis es elles seront trait es de fa on confidentielle Vos donn es sont conserv es pour une dur e de pr ciser au maximum 24 mois compter du dernier contact avec le candidat Seules les personnes habilit es de notre soci t pourront acc der vos donn es des fins strictement internes NOTES D INFORMATIONS Option pour les groupes internationaux J autorise la soci t communiquer les informations me concernant aux filiales du groupe situ es en dehors de l Union Europ enne Oui d Non 4 Option pour les cabinets de recrutement EXEMPLES DE J autorise la soci t communiquer les informations me concernant toute entreprise cliente Oui 4 Non U Option pour les cvth ques en ligne J autorise la soci t communiquer les informations me concernant toute entreprise cliente qui en ferait la demande Oui 4 Non O diffuser en ligne les informations me concernant sans les rendre anonymes Oui D Non 4 Vous pou
56. pos en annexe La diffusion sur internet de donn es caract re personnel ex nom pr nom coordonn es professionnelles etc rend ces informations accessibles quiconque sans que l int ress puisse r ellement ma triser leur utilisation Par cons quent le salari doit pouvoir s opposer simplement et tout moment une telle diffusion La CNIL recommande que la diffusion de la photographie soit subordonn e l accord pr alable de l employ en particulier lorsque cette photographie est destin e tre publi e ou mise en ligne sur internet E 2 Comment d clarer Les annuaires professionnels internes doivent faire l objet d une d claration de conformit en r f rence la norme n 46 relative la gestion des personnels des organismes publics et priv s sauf si un Correspondant informatique et libert s a t d sign au sein de l organisme dispense de d claration Les annuaires autres que les annuaires internes doivent faire l objet d une d claration normale pr alablement leur mise en uvre sauf si un Correspondant informatique et libert s a t d sign au sein de l organisme dispense de d claration GUIDE POUR LES EMPLOYEURS ET LES SALARI S LILI LIL IL IL IL PERSONNEL LES ANNUAIRES DU N 2 FICHE Fiche n 3 l acc s au dossier professionnel Tout salari ou ancien salari justifiant de son identit a le droit d acc der son do
57. qui seront collect es e les services destinataires des donn es e les modalit s d exercice du droit d acc s ces donn es Les personnels et leurs repr sentants doivent tre parfaitement inform s de ces modalit s pr alablement a la mise en uvre du syst me de bad ges voir mod le propos en annexe Bo Comment d clarer Si le dispositif envisag respecte en tout point le cadre fix par la norme simplifi e n 42 l employeur priv ou public peut effectuer une d claration simplifi e sauf s il a d sign un correspondant informatique et libert s auquel cas il est dispens de d claration Dans le cas contraire notamment en cas de recours des dispositifs bio m triques des formalit s de d claration particuli res voire de demande d autorisation devront tre accomplies aupr s de la CNIL cf fiche n 12 OOOO E LIEU DE TRAVAIL LE BADGES SUR UTILISATION DE 11 FICHE N Fiche n 12 la biom trie sur le lieu de travail Les dispositifs biom triques parce qu ils permettent d identifier une personne par ses caract ristiques physiques biologiques voire compor tementales sont particuli rement sensibles et sont donc soumis a un contr le particulier de la CNIL Ainsi ces dispositifs ne peuvent tre mis en uvre sans autorisation pr alable de la CNIL La biom trie qu est ce que c est La biom trie regroupe l ensemble de
58. r la loi Informatique et Libert s doivent continuer a en b n ficier lorsque leurs donn es quittent le territoire fran ais pour faire l objet d un traitement en dehors de l Union europ enne M 3 Quelles sont les principales obligations respecter gt Finalit Tout transfert de donn es vers l tranger doit avoir une finalit d termin e explicite et l gitime le responsable de traitement tabli en France doit pouvoir expliquer pourquoi le transfert a lieu ex transfert d information destination de la maison m re h bergement des donn es l tranger externalisation de certains services et s tre assur que ces raisons sont compatibles avec les exigences de la loi fran aise ex s curit des donn es dur e de conservation limit e des donn es Les donn es transf r es ne doivent pas tre trait es ult rieurement de mani re incompatible avec cette finalit gt Pertinence des donn es Les donn es transf r es doivent tre ad quates pertinentes et non excessives au regard de la ou des finalit s pour lesquelles elles sont transf r es GUIDE POUR LES EMPLOYEURS ET LES SALARI S LILI DONN ES INTERNATIONAUX DE LES TRANSFERTS N 5 FICHE L M Concernant cette derni re obligation la CNIL constate fr quemment que des soci t s multinationales envisagent d op rer des transferts concernant l int gralit du personnel de soci t s fran aises
59. r lui a ventuellement r clam s M 5 Que faire en cas de difficult Il est possible d alerter le correspondant informatique et libert s CIL qui a pu tre d sign par l employeur ou de saisir la CNIL d une plainte Une plainte p nale peut galement tre d pos e aupr s du Procureur de la R publique ou des services de police ou de gendarmerie LA GESTION DES UVRES SOCIALES N 4 FICHE OOOO E Fiche n 5 les transferts internationaux de donn es E 1 De quoi s agit il Constitue un transfert de donn es vers un pays tiers toute communication ou copie de donn es par l interm diaire d un r seau ou d un support un autre quel que soit le type de ce support dans la mesure o ces donn es ont vocation faire l objet d un traitement dans le pays destinataire Par exemple sont consid r s comme des transferts internationaux de donn es e la centralisation dans un pays tranger de la base de donn es de gestion des ressources humaines e le transfert vers un prestataire tranger aux fins de saisie informatique des dossiers du personnel e l h bergement de donn es caract re personnel dans un pays tranger M 2 Pourquoi encadrer les transferts de donn es caract re personnel vers des pays n appartenant pas l Union europ enne Les personnes b n ficiant d une protection de leurs donn es en France pa
60. re les mesures n cessaires pour garantir la confidentialit des donn es et viter leur divulgation a des tiers non autoris s Par exemple chaque salari doit disposer d un mot de passe individuel r guli rement chang Les droits d acc s aux donn es doivent tre pr cis ment d finis en fonction des besoins r els de chaque personne lecture criture suppression Il peut galement tre utile de pr voir un m canisme de verrouillage syst matique des postes informatiques au del d une courte p riode de veille Ainsi les donn es caract re personnel ne doivent tre consult es que par les personnes habilit es y acc der en raison de leurs fonctions Par exemple les personnes habilit es du service des ressources humaines s agissant de la gestion de la paie les administrateurs r seaux s agissant des donn es de connexion internet Les donn es peuvent n anmoins tre communiqu es des tiers autoris s en conna tre en application de dispositions l gislatives particuli res Inspections du travail services fiscaux services de police GUIDE POUR LES EMPLOYEURS ET LES SALARI S BL III L g OE 5 Le principe du respect des droits des personnes gt Information des personnes Lors de l informatisation de leurs donn es les salari s concern s ou les candidats un emploi doivent tre clairement inform s des objectifs poursuivis du caract re obligatoire ou facultatif
61. rt imp ratif de s curit et satisfont aux quatre exigences suivantes e la finalit du dispositif elle doit tre limit e au contr le de l acc s d un nombre limit de personnes une zone bien d termin e repr sentant ou contenant un enjeu majeur d passant l int r t strict de l organisme tel que la protection de l int grit physique des personnes de celle des biens et des installations ou encore de celles de certaines informations ex acc s une centrale nucl aire une cellule de production de vaccins ou un site Seveso II LIEU DE TRAVAIL LE e la proportionnalit le syst me propos est il bien adapt la finalit pr alablement d finie eu gard aux risques qu il comporte en mati re de protection des donn es caract re personnel e la s curit le dispositif doit permettre la fois une authentification et ou une identification fiable des personnes et comporter toutes garanties de s curit pour viter la divulgation des donn es e l information des personnes concern es elle doit tre r alis e dans le respect de la loi informatique et libert s et le cas ch ant du Code du travail LA BIOM TRIE SUR M 5 Comment d clarer 12 Si le dispositif biom trique est conforme l une de ces trois autorisations uniques il suffit d adresser la CNIL une simple d claration de conformit qui peut s effectuer en ligne sur www cnil fr Les traitement
62. s donn es EXEMPLES DE Les garanties suivantes ont t prises pour s assurer d un niveau de protection suffisant des donn es personnelles e Le pays du ou des destinataires s offre un niveau de protection ad quat par d cision de la Commission Europ enne pr cisez laquelle e Le ou les destinataires s adh rent aux principes du Safe Harbour e Le transfert de donn es a t autoris e par la CNIL et est encadr par les clauses contractuelles types tablies par la Commission Europ enne pr ciser le num ro de la d lib ration autorisant le transfert e Le transfert de donn es a t autoris e par la CNIL et est encadr par des r gles internes valid es par la CNIL e La soci t b n ficie d une des exceptions mentionn es l article 69 de la loi du 6 janvier 1978 modifi e en 2004 oo eect eee eee ee eee pr ciser laquelle Conform ment aux articles 39 et suivants de la loi n 78 17 du 6 janvier 1978 modifi e en 2004 relatives l informatique aux fichiers et aux libert s toute personne peut obtenir communication et le cas ch ant rectification ou suppression des informations la concernant en s adressant AU S TVICO rsnrsssstessemisniaransstes citer le nom du service aupr s duquel il est possible d exercer son droit d acc s OOOO IEA Une difficult Une h sitation Pour plus d informations vous trouverez sur le site de la CN
63. s ne relevant pas de l une de ces autorisations uniques doivent faire l objet d une demande d autorisation Cette demande est constitu e du formulaire de d claration compl t et sign par le responsable du traitement ou son repr sentant accompagn des annexes s curit galement disponibles sur le site web de la CNIL ainsi que de tout l ment justifiant la mise en place du dispositif de reconnaissance biom trique envisag FICHE N GUIDE POUR LES EMPLOYEURS ET LES SALARI S A LILI Mode d emploi comment d clarer E La d claration est une obligation l gale dont le non respect est p nalement sanctionn Tout fichier ou traitement informatis comportant des donn es personnelles doit donc tre d clar la CNIL pr alablement sa mise en uvre sauf s il est express ment exon r de d claration Cette formalit peut prendre plusieurs formes selon le fichier concern voir tableau r capitulatif la fin du guide Les d clarations peuvent tre r alis es en ligne sur le site de la CNIL www cnil fr rubrique d clarer En cas de doute sur le r gime dont rel ve le traitement il suffit de r aliser une d claration normale en ligne la CNIL se chargera de qualifier le dossier et de contacter le d clarant Dans tous les cas la d signation d un correspondant informatique et libert s CIL dispense l organisme concern de devoir accomplir les formalit s relat
64. s techniques informatiques permettant de reconna tre automatiquement un individu partir de ses caract ristiques physiques biologiques voire comportementales Les donn es biom triques sont des donn es caract re personnel car elles permettent d identifier une personne Elles ont pour la plupart la particularit d tre uniques et permanentes ADN empreintes digitales Elles se rapprochent ainsi de ce qui pourrait tre d fini comme un identificateur unique universel permettant de fait le tra age des individus E 1 Le cadre juridique Tous les dispositifs de reconnaissance biom trique sont soumis autorisation pr alable de la CNIL quel que soit le proc d technique retenu contour ou forme de la main empreinte digitale Il appartient chaque organisme d adresser une demande d autorisation la CNIL Sauf trois cas de figure pr cis s ci apr s chaque application fait l objet d un examen au cas par cas en fonction notamment de la caract ristique biom trique utilis e Attention La CNIL n agr e pas et ne labellise pas les dispositifs biom triques Les soci t s qui commercialisent ce type de dispositifs ne peuvent donc en aucune fa on se pr valoir d un quelconque agr ment de la CNIL sur leur produit E 2 Des formalit s all g es pour certains dispositifs biom triques Afin de faciliter les formalit s la Commission a d fini un cadre appel autor
65. ssier professionnel aupr s du service du personnel OE 1 Un droit d acc s quelles donn es Lint ress peut obtenir communication de l ensemble des donn es le concernant qu elles soient conserv es sur support informatique ou dans un dossier papier Par exemple il a le droit d acc der aux donn es relatives e son recrutement e son historique de carri re e sa r mun ration e l valuation de ses comp tences professionnelles entretiens annuels d valuation notation e son dossier disciplinaire etc M 2 Limites au droit d acc s Le salari ou ancien salari n a pas le droit d acc der e aux donn es concernant la situation personnelle d un tiers notamment d un autre salari eaux donn es pr visionnelles de carri re potentiel de carri re classement sauf si ces donn es ont t prises en compte pour d cider de son augmentation de salaire de sa promotion de son affectation etc Un salari doit ainsi pouvoir acc der l ensemble des donn es de gestion des ressources humaines qui ont servi prendre une d cision son gard L employeur a le droit de s opposer aux demandes manifestement abusives En cas de contestation il doit d montrer que la demande du salari est abusive M 3 Comment s exerce le droit d acc s Le droit d acc s peut s exercer soit sur place soit par crit avec un justificatif d identit L
66. t install dans un lieu mixte lieu ouvert au public qui comporte galement des zones priv es par exemple un supermarch et les images enregistr es dans un fichier ou trait es informatiquement Dans cette hypoth ses une d claration aupr s de la CNIL est n cessaire Se pose toutefois la question du cumul avec la loi de 1995 autorisation pr fectorale GUIDE POUR LES EMPLOYEURS ET LES SALARIES A LL IL IL IL IL A M Ce qu il faut retenir Lorsque le dispositif d enregistrement vid o fait appel des moyens informatiques ex surveillance vid o IP stockage des images sur support num rique etc il est n cessaire de d clarer le dispositif la CNIL Lorsque le syst me s accompagne d un dispositif biom trique ex reconnaissance faciale analyse comportementale II doit faire l objet d une demande d autorisation aupr s de la CNIL puisqu il fait appel une technique biom trique voir fiche n 12 LIEUX DE TRAVAIL 2 La n cessit d une analyse pr alable des risques LES Une r flexion pr alable l installation d un syst me de vid osurveillance bas e sur une analyse pr cise des risques doit tre men e afin d identifier des solutions alternatives une s curisation des acc s au moyen de badges magn tiques peut par exemple constituer la r ponse efficace et adapt e un objectif particulier de s curisation 3 La n cessit de respecter le principe de proportionn
67. teurs ont pour mission d assurer le fonctionnement normal et la s curit des r seaux et syst mes Ils sont conduits par leurs fonctions m me avoir acc s des informations personnelles relatives aux utilisateurs messagerie historique des sites visit s fichiers logs ou de journalisation etc y compris celles qui sont enregistr es sur le disque dur du poste de travail fichiers temporaires cookies gt Acc s aux donn es personnelles des utilisateurs L acc s aux donn es enregistr es par les employ s dans leur environnement informatique qui sont parfois de nature personnelle ne peut tre justifi que dans les cas o le bon fonctionnement des syst mes informatiques ne pourrait tre assur par d autres moyens moins intrusifs De m me les administrateurs de r seaux et syst mes ne doivent pas divulguer des informations qu ils auraient t amen s conna tre dans le cadre de leurs fonctions et en particulier lorsque celles ci sont couvertes par le secret des correspondances ou rel vent de la vie priv e des utilisateurs et ne mettent en cause ni le bon fonctionnement technique des applications ni leur s curit ni l int r t de l entreprise Ils ne sauraient LES ADMINISTRATEURS R SEAU non plus tre contraints de le faire sauf disposition l gislative particuli re N en ce sens R L obligation de confidentialit pesant sur les administrateurs informatiques i doit ainsi tre clair
68. trictions qui ne seraient pas proportionn es au but recherch et justifi es par l int r t l gitime de l entreprise article L1121 1 du code du travail CIC E A Par exemple la mise sous vid osurveillance permanente d un poste de travail ne pourrait intervenir qu en cas de risque particulier et d ment av r pour la s curit du salari concern voir fiche n 8 De m me la mise en place pour contr ler l acc s des locaux d une base d empreintes digitales ne peut se justifier que face un fort imp ratif de s curit et en l absence de solutions alternatives moins intrusives voir fiche n 12 M 3 Le principe d une dur e limit e de conservation des donn es Les informations ne peuvent tre conserv es de fa on ind finie dans les fichiers informatiques Une dur e de conservation pr cise doit tre d termin e en fonction de la finalit de chaque fichier Par exemple le temps de la pr sence du salari s agissant d une application de gestion des carri res cinq ans pour un fichier de paie deux ans apr s le dernier contact avec le candidat un emploi pour un fichier de recrutement un mois pour les enregistrements de vid osurveillance PRINCIPES CL S RESPECTER E 4 Le principe de s curit et de confidentialit des donn es LES 5 L employeur en tant que responsable du traitement est astreint une obligation de s curit il doit prend
69. u secteur des RH est concern recrutement gestion des carri res et des comp tences le suivi du temps de travail etc Simultan ment les dispositifs de contr le des salari s li s aux nouvelles technologies se multiplient vid osurveillance cybersurveillance applica tions biom triques g olocalisation etc AVANT PROPOS Ces applications enregistrent de nombreuses informations caract re personnel sur les salari s La loi Informatique et Libert s fixe un cadre la collecte et au traitement de ces donn es afin de les prot ger dans la mesure o leur divulgation ou leur mauvaise utilisation est susceptible de porter atteinte aux droits et libert s des personnes ou leur vie priv e Le respect par les entreprises et administrations des r gles de protection des donn es caract re personnel est un facteur de transparence et de confiance l gard des salari s C est aussi un gage de s curit juridique pour les employeurs qui sont responsables de ces traitements informa tiques et de la s curit des donn es personnelles qu ils contiennent Ils peuvent ainsi voir leur responsabilit notamment p nale engag e en cas de non respect des dispositions de la loi C est pourquoi notre commission charg e de veiller au respect de ces principes souhaite informer les salari s des droits dont ils disposent ainsi que les employeurs en les conseillant sur les mesures adopter pour se conformer la loi
70. vez acc der aux informations vous concernant les rectifier ou les supprimer pour ce faire il suffit de vous adresser aupr s du service suivant pr ciser Faites ess enr e Ds ee NES mr T TT Signature GUIDE POUR LES EMPLOYEURS ET LES SALARI S A IL LILLIE IL L I Mention d information en cas de transfert de donn s en dehors de l union europ enne PE D identit du responsable du traitement dispose nt de moyens informatiques destin s g rer indiquer la finalit du traitement par exemple la gestion des ressources humaines le gestion de la paie la maintenance informatique etc Les informations enregistr es sont r serv es l usage du ou des service s concern s et ne peuvent tre communiqu es qu aux destinataires suivants pr ciser les destinataires Certains de ces destinataires sont situ s en dehors de l Union Europ enne et en particulier les destinataires suivants indiquer le nom des entit s ou services destinataires ainsi que leur pays d tablissement NOTES D INFORMATIONS Ces destinataires auront communication des donn es suivantes pr ciser par exemple nom pr nom matricule coordonn es professionnelles salaire donn es de connexion La transmission de ces donn es aux destinataires situ s en dehors de l Union Europ enne est destin e indiquer la finalit du transfert de
71. x employeurs Ww wie M 3 Comment exercer ses droits o Ww Tout candidat ou employ doit pouvoir obtenir sur demande et dans un d lai raisonnable toutes les informations le concernant y compris les r sultats des analyses et des tests psychologiques graphologiques ou valuations professionnelles ventuellement pratiqu s Le droit d acc s s applique aux informations collect es directement aupr s du candidat aux informations ventuellement collect es aupr s de tiers ainsi qu aux informations issues des m thodes et techniques d aide au recrutement La Commission recommande que la communication des informations contenues dans la fiche du candidat soit effectu e par crit La communication des r sultats des tests ou valuations peut tre faite par tout moyen appropri au regard de la nature de l outil utilis En cas de contestation portant sur l exactitude des informations la charge de la preuve incombe au service aupr s duquel est exerc le droit d acc s sauf lorsqu il est tabli que les informations contest es ont t communiqu es par la personne concern e ou avec son accord GUIDE POUR LES EMPLOYEURS ET LES SALARI S ML LIL IL IL IL L g E 4 Combien de temps peut on conserver les donn es relatives un candidat La CNIL recommande que la dur e de conservation des informations sur support informatique et papier n exc de pas deux ans apr s le dernier contact av
72. xpress ment e les finalit s relatives interne gestion des AUCUNE de i dotations messagerie l coute ou t l phonique interne l enregistrement ma trise des d penses li es de conversations l utilisation des services t l phoniques de t l phonie e la localisation d un employ partir de son t l phone portable Mise en uvre de services D CLARATION Respecter la norme destin s g olocaliser les SIMPLIFI E simplifi e n 51 v hicules utilis s par les employ s Si d signation d un correspondant informatique et libert s AUCUNE GUIDE POUR LES EMPLOYEURS ET LES SALARI S Pa CLL A FICHIER POUR QUEL QUELLE D CLARATION TABLEAU R CAPITULATIF Tout autre traitement automatis d s lors qu il n est pas conforme aux normes labor es par la Commission notamment Annuaires du personnel sur internet Traitements informatiques permettant un contr le de l activit professionnelle des salari s surveillance des connexions internet ou de la messagerie lectronique g olocalisation Traitements de vid osurveillance Traitements de recrutement base de donn es de CV ou de candidats Traitements comportant un transfert de donn es vers un pays tiers l Union europ enne D CLARATION NORMALE Si d signation d un correspondant informatique et libert s AUCUNE AUTORISATION Utiliser le formulaire de d claration n
73. z par exemple direction des ressources humaines responsables op rationnels Conform ment a la loi informatique et libert s du 6 janvier 1978 modifi e en 2004 vous pouvez avoir acc s et rectifier les informations qui vous concernent en vous adressant 0 pr ciser le service et l adresse GUIDE POUR LES EMPLOYEURS ET LES SALARI S A IL LIL IL IL IL __ __________________g IE Note d information pour un dispositif de contr le d acc s badges biom trie isgisciacheseaccagecagaancanaaqncnnce ss indication de l identit du responsable du traitement Un dispositif biom trique destin au contr le de l acc s isvipenpeetachiaueresaniaaaaedecstee pr ciser ici la finalit par exemple contr le d acc s un b timent ou une zone en particulier contr le d acc s un poste informatique ou une application a t mis en place Les donn es vous concernant sont conserv es au maximum pr cisez Au del toutes les donn es sont d truites Seules les personnes habilit es du service pr ciser le service par exemple le service informatique auront acc s a vos donn es biom triques NOTES D INFORMATIONS Conform ment a la loi informatique et libert s du 6 janvier 1978 modifi e en 2004 vous pouvez avoir acc s et rectifier les informations qui vous concernent en vous adressant pr ciser le service et l adresse MM In
Download Pdf Manuals
Related Search