Registre d’identification des salariés atteints du Covid-19

identification des salariés atteints du Covid-19L’obligation de sécurité permet-elle à l’employeur de tenir un registre d’identification des salariés atteints du Covid-19 ?

L’obligation de sécurité de l’employeur face au Covid-19

Au nom de son obligation de sécurité, l’employeur est tenu de prendre « les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs » (Article L.4121-1 du Code du travail). Cette obligation passe notamment par :

  • des actions de préventions des risques professionnels ;
  • des actions d’information et de formations ;
  • la mise en place d’une organisation et de moyens adaptés.

L’employeur doit garantir la sécurité des salariés dans ce contexte de déconfinement et de retour des salariés dans les locaux. Il est donc confronté à la problématique d’identification des salariés infectés pour éviter une propagation du virus au travail.

L’identification des salariés atteints du Covid-19

Le Ministère du travail a publié des fiches conseils par métier à destination des salariés et des employeurs afin de les accompagner dans la mise en œuvre de mesures de protection contre le Covid-19 sur le lieu de travail (Fiches conseils métiers publiés par le Ministère du travail).

De plus, il est important pour l’employeur de pouvoir être informé lorsque ses collaborateurs ont été contaminés par le Covid-19. Ils seront ainsi identifiés et des mesures seront prises pour éviter toute contamination générale  comme :

  • le placement en quatorzaine ;
  • l’information des personnes ayant été en contact avec le salarié concerné, dans le respect de sa vie privé.

L’employeur peut donc, pour raison de sécurité, créer un registre d’identification des salariés infectés, ayant été exposés ou suspectés.

Le respect du principe de protection des données à caractère personnel

Cependant, s’il met en place un tel registre, il doit le faire dans le respect des principes encadrant la protection des données à caractère personnel prévus à l’article 5 du RGPD et notamment :

  • principe de minimisation des données traitées : seules les données strictement nécessaires à l’accomplissement de la finalité du traitement peuvent être traitées. Par exemple :
    • identité du salarié,
    • situation de télétravail ou non et durée,
    • visite auprès de la médecine du travail,
    • date de signalement.
  • principe d’exactitude des données traitées : les données traitées doivent être mises à jour en fonction de la situation du salarié. Par exemple :
    • cas d’un salarié suspecté d’avoir été exposé au Covid-19 qui réalise un test et qui informe l’employeur du résultat positif ou négatif.
  • limitation des durées de conservation : les données permettant l’identification de la personne ne doivent pas être conservées au-delà de ce qui est strictement nécessaire au regard des finalités poursuivies. Ceci implique qu’elles ne soient pas être conservées au-delà de la période d’épidémie en cours.

Emmanuel Walle
Elena Blot
Lexing Département social numérique




Publication par la Cnil du référentiel relatif aux traitements RH

référentiel relatif aux traitements RHLa Cnil a adopté le référentiel relatif aux traitements RH qui encadre les traitements courants de « gestion du personnel » de tous les organismes privés comme publics (1).

Référentiel des traitements RH : outil d’aide à la mise en conformité

Bien que ce référentiel relatif aux traitements RH ne soit pas contraignant, il constitue un cadre de référence pour aider les employeurs dans leur démarche de mise en conformité de leurs traitements RH tels que le recrutement, la gestion administrative du personnel, la rémunération, la mise à disposition des salariés d’outils de travail, etc.

La portée de ce référentiel relatif aux traitements RH est donc plus large que la norme simplifiée 46 de la Cnil (2) dans la mesure où il couvre la phase de recrutement et la gestion de la paie.

Ce référentiel apporte des précisions sur l’identification des bases juridiques susceptibles de fonder des traitements en matière RH, la détermination des durées de conservation des données ainsi que sur les hypothèses dans lesquelles la réalisation d’une analyse d’impact sur la protection des données est obligatoire ou non.

Apports sur les bases juridiques

Les bases juridiques identifiées par la Cnil comme susceptibles de fonder des traitements en matière RH sont les suivantes :

  • le respect d’une obligation légale incombant à l’organisme pour les traitements relatifs à la gestion des élections professionnelles, l’organisation des réunions des instances représentatives du personnel, à la déclaration sociale nominative ;
  • l’exécution d’un contrat auquel la personne concernée est partie pour les traitements relatifs à la gestion du dossier professionnel des employés, à l’établissement des rémunérations et mise à disposition des bulletins de salaire, la gestion de la mobilité professionnelle, gestion des demandes de formation et des périodes de formation effectuées ;
  • l’exécution de mesures pré-contractuelles prises à la demande de la personne concernée pour le traitement des candidatures et la gestion des entretiens ;
  • la réalisation de l’intérêt légitime poursuivi par l’organisme ou par le destinataire des données,

Sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée pour :

  • les traitements relatifs à la constitution d’une CV-thèque,
  • la réalisation d’états statistiques ou de listes d’employés pour répondre à des besoins de gestion administrative,
  • la gestion des annuaires internes et des organigrammes,
  • la gestion des dotations individuelles en fournitures, équipement, véhicules et cartes de paiement,
  • la mise à disposition d’outils informatiques,
  • l’organisation du travail,
  • le suivi des carrières,
  • l’organisation de sessions de formation et
  • évaluation des connaissances et des formations, la gestion des aides sociales.

Apports sur la durée de conservation des données

La Cnil propose des durées de conservation des données pour les traitements relatifs à/au :

  • la gestion de la paie
  • le bulletin de salaire est conservé en base active 1 mois puis en archivage intermédiaire 5 ans dans les conditions de l’article L.3243-4 du Code du travail ou 50 ans en version dématérialisée dans les conditions de l’article D.3243-8 du Code du travail ;
  • les éléments nécessaires au calcul de l’assiette sont conservés 1 mois puis 6 ans en archivage intermédiaire ;
  • la saisie des données calculées est conservée le temps nécessaire à l’émission du bulletin de paie puis en archivage intermédiaire 6 ans ;
  • l’ordre de virement pour paiement est conservée le temps nécessaire à l’émission du bulletin de paie puis en archivage intermédiaire 10 ans à compter de la clôture de l’exercice comptable ;
  • registre unique du personnel pour lequel les données sont conservées pendant toute la durée de présence du salarié dans l’entreprise puis en archivage intermédiaire pendant 5 ans à compter du départ de celui-ci ;
  • la gestion des mandats des représentants du personnel :
  • les données relatives à la nature du mandat et au syndicat d’appartenance sont conservées 6 mois après la fin du mandat puis en archivage intermédiaire pendant 6 ans ;
  • les données relatives aux sujétions particulières ouvrant droit à congés spéciaux ou à crédit d’heures de délégation sont conservées le temps de la période de sujétion de l’employé concerné puis en archivage intermédiaire pendant 6 ans.

Apports concernant la conduite d’analyses d’impact

La Cnil indique que l’élaboration d’une analyse d’impact n’est pas requise pour les traitements mis en œuvre uniquement à des fins de :

  • ressources humaines et dans les conditions prévues par les textes applicables pour la seule gestion du personnel des organismes qui emploient moins de 250 personnes, à l’exception du profilage ;
  • gestion des contrôles d’accès physiques en dehors de tout dispositif biométrique, à l’exclusion des traitements de données qui révèlent des données sensibles ou à caractère hautement personnel.

A contrario, la conduite d’une analyse d’impact est nécessaire pour les traitements :

  • établissant des profils de personnes physiques à des fins de gestion des ressources humaines ;
  • ayant pour finalité de surveiller de manière constante l’activité des employés concernés.

Pour identifier si la conduite d’une analyse d’impact est nécessaire pour les autres traitements RH, il convient de vérifier si deux des neuf critères établis par le Comité européen de la protection des données sont réunies, à savoir :

  • évaluation ou notation d’une personne ;
  • prise de décision automatisée ;
  • surveillance systématique ;
  • traitement de données sensibles ou à caractère hautement personnel ;
  • traitement à grande échelle ;
  • croisement ou combinaison d’ensembles de données ;
  • données concernant des personnes vulnérables (à noter que les salariés sont considérés comme des personnes vulnérables) ;
  • utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles ;
  • traitements qui empêchent les personnes d’exercer un droit ou de bénéficier d’un service ou d’un contrat.

Emmanuel Walle
Oriane Maurice
Lexing Droit social numérique

(1) Délibération n° 2019-160 du 21-11-2019 portant adoption du référentiel relatif aux traitements de données à caractère personnel mis en œuvre aux fins de gestion du personnel. Référentiel également disponible sur le site de la Cnil.
(2) Délibération n° 2005-002 du 12-01-2005 portant adoption d’une norme destinée à simplifier l’obligation de déclaration des traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels.




Contrôle d’activité des salariés en confinement

activité des salariés

Quelles sont les règles en matière de contrôle d’activité des salariés par les logs de connexion ? Devant le recours massif au télétravail en période de confinement, cette question nécessite un rappel des principes.

Rappel des principes

Le manager ou plus généralement l’employeur a-t-il le droit de contrôler le travail de ses collaborateurs ?

La réponse est affirmative, c’est même une prérogative de l’employeur. Il doit en effet satisfaire aux obligations légales qui lui incombent en particulier dans certains secteurs. Il doit également répondre du bon usage professionnel des système d’information mis à la disposition de ses salariés.

Ces règles se trouvent généralement dans la charte d’utilisation des systèmes d’information (ordinateur, smartphone, messagerie professionnelle, etc.) qui est le prolongement du règlement intérieur de l’entreprise.

Les outils de traçage de l’activité des salariés

Il n’y a rien de nouveau en droit puisque le Code du travail encadre depuis longtemps le télétravail. Mais la situation liée au confinement et au télétravail généralisé conduit à quelques précautions dans l’usage des possibilités offertes par la technologie pour contrôler l’activité des salariés en confinement.

En effet, depuis le 17 mars, les entreprises recourent massivement au télétravail sans s’y être nécessairement préparées. Ce qui peut poser des questions quant l’ensemble de l’entreprise passe du jour en lendemain en télétravail.

Les relations de travail et surtout de production doivent être adaptées pour anticiper tout conflit. Plus précisément, lorsque l’entreprise dispose d’un logiciel « dédié » de contrôle interne (type traceur ou keylogger, sorte de e-mouchards) et que la finalité d’un tel outil est le contrôle individuel des salariés, il est nécessaire d’informer et de consulter préalablement le CSE (C. trav. Art. L. 2312-38).

Par ailleurs, les salariés doivent être informés de tout dispositif permettant de collecter des informations les concernant personnellement (C. trav. art. L. 1222-4).

Les nouvelles obligations issues du RGPD

En plus du Code du travail, les dispositions relatives à la protection des données à caractère personnel doivent également être respectées, notamment celles liées à la tenue du registre des activités de traitement et à l’étude d’impact prévues par le RGPD.

En effet, les logs de connexion qui permettent d’enregistrer la date, l’heure et les durées de connexion des salariés, sont des traitements de données personnelles qui doivent être inscrits au registre des activités de traitement (Règl. UE 2016/679 art. 30).

De même, dès qu’un traitement présente un risque élevé pour les droits et les libertés des personnes, le RGPD prévoit l’obligation de réaliser une analyse d’impact sur la vie privée selon les conditions prévues par l’article 35 du RGPD.

Or, le terme « vie privée » désigne l’ensemble des libertés et droits fondamentaux, notamment ceux évoqués dans :

  • le RGPD et
  • l’article 1 de la Loi du 8 janvier modifiée, à savoir « vie privée, identité humaine, droits de l’homme et libertés individuelles ou publiques ».

Le traitement des données de connexion (adresses IP, journaux d’événements, log de connexion, etc.) et de localisation (déplacements, données GPS, GSM, etc.) fait donc partie des traitements soumis à analyse d’impact.

Nos outils d’implémentation au RGPD en mode SaaS permettent la réalisation d’analyses d’impacts (DPIA).

activité des salariésEmmanuel Walle
Lexing Département Social Numérique

Voir notre vidéo « Contrôle individuel de l’activité des salariés dans le cadre du télétravail » sur la chaîne YouTube Lexing Alain Bensoussan – Avocats.




L’impact du RGPD sur la gestion des données personnelles des salariés

gestion des données personnelles des salariés

Emmanuel Walle, directeur du département droit du travail de Lexing Alain Bensoussan Avocats animera

un petit-déjeuner débat consacré à la gestion des données personnelles des salariés, le 5 février 2020.

La collecte des données des employés, des salariés et autres agents par l’employeur est constante et régulière. La relation de travail employeur/salarié implique au quotidien une collecte plus importante de données personnelles qu’une relation entreprise /client /fournisseur.

La gestion des données personnelles des salariés

Avant même une embauche, l’entreprise détient le plus souvent certaines informations personnelles du candidat, notamment au travers de son Curriculum Vitae et des autres tests d’évaluations. L’entreprise peut également sous-traiter son recrutement faisant appelle alors à des processus d’IA. Cette collecte de données se poursuit ensuite tout au long de la carrière du salarié (déclarations sociales et fiscales, arrêts maladies, échanges de correspondances etc.).

L’équilibre entre vie professionnelle et vie privé est également fortement impacté par le développement des technologies de contrôle et de surveillance au travail (caméras, logiciels, localisation, réseaux, etc.).

Par exemple, les services RH doivent s’interroger sur la manière dont ils contrôlent le temps de travail des salariés (horaire collectif, décompte individuel, forfait). Si ce contrôle passe par la collecte informatique de données personnelles sur les salariés (système de badges, géolocalisation, biométrie, etc.) un encadrement adapté s’imposent.

En ce sens, le RGPD, qui s’applique aux entreprises, associations, collectivités territoriales et administrations, entend responsabiliser les acteurs que sont les employeurs (principe d’accountability) et mieux protéger les salariés.

La responsabilité de l’employeur

Rappelons aussi que l’étendue des traitements des données personnelles des employés place l’employeur dans la position de responsable du traitement dont les obligations sont renforcées par le RGPD. Les employeurs et au premier rang desquelles les directions RH et leur DPO doivent impérativement entrer dans la dynamique de la mise en conformité, d’autant que les sanctions prévues sont désormais réellement dissuasives.

Certaines décisions récentes de la Cnil rendues sous le régime du RGPD font écho à des cas plus anciens (comme Lidl ou Ikea) et mettent en cause l’employeur en tant de responsable du traitement.

Nous vous proposons donc, à l’occasion de ce petit-déjeuner, de faire le point sur l’impact du RGPD sur la gestion des données personnelles des salariés :

  • Comment décrypter le RGPD face à ces problématique RH ?
  • Quelles sont les actions concrètes à mettre en oeuvre ?
  • Quelle est l’étendue de cette mise en conformité ?

Le petit-déjeuner débat a lieu le 5 février 2020, de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.




Tendance : droit du travail numérique

droit du travail numérique

Emmanuel Walle, directeur du département droit du travail de Lexing Alain Bensoussan Avocats animera un petit-déjeuner débat

consacré aux tendances du monde du travail numérique, le 6 février 2019.

Parmi les reformes sociales majeures récentes et celles programmées pour cette nouvelle année, signalons celles sur les conditions de travail, le système de prévention des risques professionnels, les services de santé au travail, ou encore les arrêts de travail.

Emmanuel Walle fera le point sur la pratique du droit à la déconnexion, examinera le forfait jour à l’aune de la jurisprudence, l’état des lieux du recours au télétravail et de l’utilisation de la géolocalisation pour assurer le contrôle de la durée du travail.

Enfin la revue des tendances du droit du travail numériques en ce début 2019 ne serait pas complète sans un point sur le RGPD et le défi qu’il peut constituer pour la direction des ressources humaines en ce qui concerne les relations salariés et employeurs notamment en cas de faille de sécurité.

Nous vous proposons donc de faire le point sur ce qui va changer en 2019.

Le petit-déjeuner débat a lieu de 9h30 à 11h30 (accueil à partir de 9h00) dans nos locaux, 58 Gouvion-Saint-Cyr, 75017 Paris.

Inscriptions closes.




EBEN publie une charte de droit à la déconnexion

charte de droit à la déconnexionLa Fédération EBEN met à la disposition de ses membres une charte de droit à la déconnexion à laquelle a collaboré le cabinet Lexing Alain Bensoussan Avocats.

Le droit à la déconnexion est l’une des nombreuses dispositions issues de la Loi travail qui permet d’adapter le droit du travail à l’ère du numérique.

Dans l’optique de permettre aux salariés de concilier au mieux vie privée et vie professionnelle dans une époque où les outils numériques mobiles prennent de plus en plus de place dans les usages professionnels, la Loi travail du 8 août 2016 a instauré le droit à la déconnexion.

Ce droit donne aux salariés la possibilité de ne pas consulter leurs méls professionnels en-dehors du temps de travail.

La charte de droit à la déconnexion

Dans cette optique, l’employeur doit négocier avec les partenaires sociaux un accord fixant les modalités d’exercice de ce droit  A défaut d’accord, l’employeur élabore une charte, après avoir recueilli l’avis du comité d’entreprise ou des délégués du personnel.

Outre les modalités d’exercice du droit à la déconnexion, cette charte doit prévoir la mise en œuvre d’actions de formation et de sensibilisation de l’ensemble des membres de l’entreprise, à un usage raisonnable des outils numériques.

La Fédération EBEN met à la disposition de ses membres une charte type élaborée par Emmanuel Walle, directeur du département Droit du travail numérique du Cabinet Lexing Alain Bensoussan Avocats.

Isabelle Pottier
Directrice Études et Publications

Communiqué EBEN, avril 2018.




La technosurveillance en droit du travail : les points de vigilance

La technosurveillance en droit du travail : les points de vigilancePetit-déjeuner débat du 12 octobre 2016 sur « La technosurveillance en droit du travail : les points de vigilance » animé par Emmanuel Walle.

Les nouveaux modes de travail

L’émergence de nouveaux modes de travail (tels que le télétravail ou le BYOD) favorisés par l’introduction des nouvelles technologies a conduit les salariés à être à la disposition de leur employeur de façon quasi-permanente.

Les nouvelles technologies ont permis le développement de modes de travail innovants et parallèlement, elles ont fournis à l’employeur les moyens de surveiller les salariés. Les performances techniques de ces moyens de technosurveillance ne sont cependant pas sans conséquence.

Leurs limites doivent être déterminées, sauf à constituer des immixtions injustifiées dans la vie privée des salariés, et à outrepasser la définition du temps de travail effectif.

Le droit à la déconnexion

Le droit à la déconnexion, consacré par la loi 2016-1088 du 8 août 2016 relative au travail, est une illustration patente de la réaction du législateur face aux conséquences non contrôlées des nouvelles technologies en droit du travail. Obligatoire à compter du 1er janvier 2017, il est urgent pour l’employeur de prévoir dès à présent les modalités de mise en œuvre de ce droit.

La tendance des employeurs à la surveillance élargie des salariés est également une préoccupation majeure de la Cnil, qui a posé une interdiction de principe de la géolocalisation des salariés en dehors du temps de travail.

L’ensemble des problématiques relatives à la technosurveillance en droit du travail suppose de concilier des intérêts divergents : d’une part, les intérêts économiques de l’employeur, d’autre part, les droits fondamentaux du salarié, tels que le droit au respect de sa vie privée ou encore le droit au repos.

Les questions qui ont été abordées lors du petit-déjeuner débat sont, notamment, les suivantes :

  • Que risque l’employeur qui va au-delà de ce que la loi autorise en matière de technosurveillance des salariés ?
  • Quelles modalités l’employeur doit-il prévoir pour mettre en place de façon effective le droit à la déconnexion ?
  • Comment l’employeur peut-il faire face à des fraudes aux moyens de surveillance qu’il a installés ? Par exemple, comment réagir en cas de fraude au badgeage ?
  • Comment gérer les conséquences d’une divulgation d’informations confidentielles par une personne clé de la société ?

Le petit-déjeuner a eu lieu de 9h30 à 11h00 dans nos locaux, 58 boulevard Gouvion-Saint-Cyr, 75017 Paris.

Voir la vidéo de l’événement sur notre Chaîne Lexing YouTube

 




Technolex: les enjeux couplés de la technologie et du droit

Technolex: les enjeux couplés de la technologie et du droitLe 17 novembre 2016 se tiendra la première édition de Technolex, manifestation annuelle entièrement dédiée aux enjeux couplés de la technologie et du droit.

Les usages massifs des technologies numériques par les usagers clients ou citoyens révolutionnent les organisations et les entreprises. Brisant les modèles classiques et proposant des modèles disruptifs, ils accélèrent leur transition digitale. Et, ainsi, les incitent à dématérialiser, adopter le document intelligent, le big data, ou encore les objets connectés, les robots et l’intelligence artificielle.

Selon Alain Bensoussan, directeur scientifique de Technolex, « ces technologies de l’intelligence (documents, données, algorithmes, robots…) vont devenir des technologies classiques en lieu et place des technologies existantes. Evaluer et proposer les nouvelles solutions: telle est l’ambition de Technolex ».

D’une part, les technologies numériques offrent des opportunités sans commune mesure en termes de business et de développement. D’autre part, elles doivent répondre aux nouveaux environnements légaux.

Autant d’enjeux qui seront évoqués lors la première édition de Technolex.

Entièrement dédié aux enjeux couplés de la technologie et du droit, cet  évènement organisé par le cabinet Alain Bensoussan Avocats en partenariat avec le Groupe Serda-Archimag, se déroulera le jeudi 17 novembre 2016 de 9H à 17H au Conservatoire National des Arts et métiers, 292 Rue Saint-Martin, 75003 Paris.

Technolex : imaginer et préparer le futur

Quatre tables rondes se tiendront à cette occasion, consacrées aux thèmes suivants :

9h15 – 10h30 : Documents et contenus intelligents

– Cycle de vie du document, archivage électronique, blockchain, etc.
– Comment l’intelligence artificielle révolutionne les contenus
– La fraude documentaire
– Retour d’expérience dans le secteur des assurances

11h15 – 12h30 : Données et algorithmes

– Les tendances de la data
– Algorithmes : décisions et responsabilités
– La protection des algorithmes
– Retour d’expérience : gestion des signaux faibles des utilisateurs

14h – 15h15 : Objets intelligents

– Intelligence des objets et impacts juridiques
– Combinatoire énergie, intelligence et communication
– Protection des données personnelles identifiantes
– Retour d’expérience : la smart City

15h45 – 17h : Les robots

– Les tendances de la robotique et impacts juridiques
– Ethique et personnalité juridique
– Le régime de responsabilité
– Retour d’expérience sur les voitures intelligentes

Ces conférences seront animées par des experts du secteur, parmi lesquels :

  • Ghislaine Chartron, Professeure titulaire de la Chaire d’Ingénierie documentaire du Conservatoire National des Arts et métiers ;
  • Pierre Fuzeau, Président de la CN 46, AFNOR, Co-président du groupe Serda-Archimag ;
  • Jean-Gabriel Ganascia, Professeur de Sciences informatique à l’Université Pierre et Marie Curie  (Paris VI), chercheur au Laboratoire d’informatique de l’Université Paris VI ;
  • Olivier Gibaru, Professeur des Universités en Mathématiques Appliquées à Arts et Métiers Paris Tech ;
  • Olivier Guilhem, Legal manager, Aldebaran Robotics, Vice-Président de l’Association du droit des robots (ADDR) ;
  • Hélène Legras, CIL mutualisé,  Groupe AREVA, Data Protection Officer, Vice-Présidente de l’ADPO ;
  • Yves Page, Chef de Projet « Expérimentations Véhicule Autonome », Groupe Renault ;
  • Frédéric Forster, Avocat à la Cour, Cabinet Alain Bensoussan Avocats Lexing, Directeur du Pôle Télécoms.

Eric Bonnet
Directeur du département Communication juridique




Suspension judiciaire d’un dispositif d’alerte professionnelle

dispositif d’alerte professionnellePar arrêt du 23 septembre 2011, la Cour d’appel de Caen a confirmé l’ordonnance de référé du Président du Tribunal de grande instance qui a suspendu un dispositif d’alerte professionnelle.

La Cour confirme donc la suspension du dispositif d’alerte professionnelle d’une société en raison de l’insuffisance des mesures prises et de l’existence d’un trouble manifestement illicite.

Les limitations d’un dispositif d’alerte professionnelle

Cette société a mis en place, dans le cadre de la loi américaine Sarbanes-Oxley adoptée en 2002, un dispositif d’alerte professionnelle, via un prestataire extérieur Ethics Points, constitué d’une ligne téléphonique, d’un site internet et d’une adresse de courriel Stryker ; ce système permettant aux salariés du groupe, ainsi qu’à ceux des filiales étrangères, de dénoncer les fraudes et malversations dont ils ont connaissance.

Ce système d’alerte professionnelle a, préalablement à son activation, été soumis à la consultation du comité d’entreprise et a fait l’objet d’un engagement de conformité à l’autorisation unique de la Cnil dans son ancienne version.

Le dispositif d’alerte visait les domaines « comptable, financier, bancaire et de lutte contre la corruption ». Deux autres rubriques visant les « questions d’intérêt vital pour l’entreprise » et les « sujets d’inquiétudes » existaient également, mais ont été supprimées des menus français.

L’autorisation de la Cnil sur les dispositifs d’alerte professionnelle

A cet égard, il convient de rappeler que le domaine des alertes professionnelles fait, depuis quelques temps, débat. En effet, la Cnil, dans son ancienne version de l’autorisation unique n°AU-004, ne visait que les dispositifs d’alerte professionnelle ayant vocation à intervenir dans les domaines financier, comptable, bancaire et de lutte contre la corruption.

Cette autorisation unique prévoyait également la possibilité de donner suite à une alerte étrangère à ces domaines en cas de mise en jeu de l’intérêt vital de l’organisme ou l’intégrité physique ou morale de ses employés. De nombreuses entités ont alors intégré cette possibilité dans leur procédure de dépôt et de gestion des alertes professionnelles.

Toutefois, la Cour de cassation a été amenée à se prononcer sur de tels dispositifs. Elle a considéré que les procédures d’alertes prévoyant la possibilité d’étendre leur périmètre, lorsque l’intérêt vital de la société ou l’intégrité physique ou morale des salariés est en jeu, n’entrent pas dans le périmètre de l’autorisation unique et doivent faire l’objet d’une autorisation normale.

Pour tenir compte de la position de la Cour de cassation, la Cnil a alors modifié l’autorisation unique n°AU-004 et supprimé la référence à l’intérêt vital de l’entreprise et à l’intégrité physique ou morale des employés.

Un dispositif d’alerte professionnelle pas assez encadré

Cependant, en l’espèce, et alors même que :

  • le dispositif en cause ne visait que les domaines bancaire, comptable, financier et de lutte contre la corruption pour les entités françaises ;
  • des mesures avaient été prises pour éviter que cette restriction, spécifique à la France, soit contournée ;
  • les alertes ne concernant pas les domaines autorisés étaient immédiatement détruites ;
  • le dispositif avait été considéré par la Cnil, lors d’un précédent contrôle sur place, comme conforme aux dispositions de la loi Informatique et libertés ;

les magistrats ont considéré qu’il restait tout de même possible à tout internaute d’émettre une alerte visant n’importe quel salarié français et ce, indépendamment des domaines autorisés, dans la mesure où les limites apportées au site français n’apparaissaient pas clairement.

La Cour d’appel a également mis en exergue le fait que l’anonymat des dénonciations, qui, au regard de l’autorisation unique, doit rester exceptionnel, n’était pas suffisamment déconseillé sur le site internet du prestataire et que l’information des personnes concernées par les alertes était insuffisante.

Enfin, la Cour d’appel relève que la société en cause aurait dû, avant d’apporter les modifications susvisées à la procédure pour limiter son périmètre, solliciter l’avis des instances représentatives du personnel. Au regard de ce qui précède, la Cour d’appel retient, qu’en considération du trouble manifestement illicite constaté, la suspension du dispositif doit être confirmée.

CA Caen 23-09-2011 n° 09-00287




L’évaluation des salariés en question

Dans un récent communiqué, la Cnil fait le point sur les droits et obligations des employeurs en matière d’évaluation des salariés. A cet égard, la Cnil rappelle les grands principes applicables en matière de traitement de données à caractère personnel.

Ces principes sont les suivants :

  • l’obligation d’information qui pèse sur le responsable du traitement ;
  • le principe selon lequel les données collectées doivent être pertinentes, adéquates et non excessives. Il s’agit de ne traiter que des données en rapport direct avec la vie professionnelle du salarié ;
  • l’obligation d’effectuer des formalités préalables auprès de la Cnil, sauf pour ce qui concerne les traitements de données à caractère personnel non automatisés ;
  • la nécessité de ne conserver les données que pour une durée strictement proportionnée par rapport à la finalité du traitement, durée qui, selon la Cnil, ne doit pas excéder la période d’emploi de la personne concernée, sauf à ce que ces données soient ensuite archivées en vue de leur éventuelle production à titre de preuve, selon des modalités conformes aux recommandations de la Cnil.
  • Enfin, elle insiste sur le fait que les zones de commentaire libre figurant éventuellement dans les évaluations doivent répondre aux mêmes exigences que les données référencées dans des champs spécifiques, à savoir pertinence, adéquation, non excessivité et proportionnalité par rapport à la finalité du traitement. Ces données doivent également être collectées de manière licite (notamment information de la personne concernée) et doivent être communiquées à la personne concernée, si cette dernière souhaite exercer son droit d’accès ou d’interrogation.

    Cnil, rubrique Actualité, article du 11 mai 2011




    La Cnil dispense de déclaration les traitement de pandémie grippale

    Depuis septembre 2009, même en l’absence de Cil et de déclaration de fichier de gestion du personnel, les responsables d’un traitement mis en œuvre dans le cadre de l’établissement et du suivi du plan de continuité de l’activité permettant de faire face à un épidémie grippale de grande ampleur ne sont plus tenus d’effectuer de formalités préalables, dans la mesure où leur traitement respecte toutes les dispositions de la nouvelle dispense n°14 (1). En août 2009, la Cnil publiait ses recommandations relatives aux traitements de données à caractère personnel dans le cadre de l’établissement et du suivi du plan de continuité de l’activité devant permettre de faire face à un épidémie grippale de grande ampleur. Elle indiquait que sous réserve que les données collectées ne soient pas soumises à un régime particulier, le traitement mis en œuvre dans ce cadre pouvait bénéficier d’une dispense de déclaration en cas de désignation d’un correspondant à la protection des données par l’organisme responsable du traitement ou être déjà couvert par une déclaration de fichier de gestion du personnel si une telle déclaration a déjà été effectuée par l’organisme (2).

    Un tel traitement est considéré comme légitime par la Cnil mais, afin de bénéficier de la dispense, il ne peut intervenir qu’à la condition que la France ait atteint le seuil d’alerte de situation 4. Lorsque le seuil d’alerte de situation 7 est atteint, les données nominatives doivent être supprimées. La dispense a ainsi un effet immédiat puisqu’à ce jour, le seuil d’alerte de situation 4 (cas groupés humains) a été dépassé, la France se trouvant en situation 5, à savoir une situation dans laquelle il existe une « transmission interhumaine d’un virus grippal dans au moins deux pays non limitrophes d’un même continent ».

    La dispense n°14 vise les traitements ayant pour finalités :

  • l’élaboration d’un plan de continuité de l’activité dans le contexte d’une pandémie grippale en identifiant les personnes susceptibles d’être indisponibles en raison de leur situation familiale ou / et de leur mode de déplacement ;
  • l’information du personnel quant aux mesures prises par l’organisme ;
  • la réalisation de traitements statistiques non nominatifs liés à l’élaboration et à l’activation du plan dans l’entreprise.

    Les données traitées dans ce cadre ne peuvent en aucun cas comprendre le numéro de sécurité sociale ni aucune donnée relative à la santé des personnes. Seules pourront être traitées un nombre restreint de données énumérées par la dispense. Il s’agit, notamment, des données suivantes :

  • données relatives à l’identité et aux coordonnées personnelles ;
  • présence au foyer d’enfants de moins de trois ans ou d’enfants scolarisés en maternelle ou primaire et existence d’autres contraintes pouvant empêcher la personne concernée de se rendre sur son lieu de travail (sous la forme de réponse oui et non uniquement) ;
  • caractéristiques du poste (contact avec le public, déplacements etc.) ;
  • volontaire pour travailler à distance en cas de pandémie ;
  • mode de transport habituel et alternatif.

    Ces données ne pourront être communiquées qu’aux personnes habilitées des services chargés de la gestion du personnel ou en charge de la cellule de crise si une telle cellule a été mise en place au sein de l’organisme. Quand bien même l’ensemble de ces dispositions serait respecté, la dispense ne s’appliquera pas en cas de mise en œuvre de transferts de données à caractère personnel à destination de pays tiers. La mise en œuvre de tels transferts devra faire l’objet d’une demande d’autorisation préalable. Enfin, comme tout traitement de données à caractère personnel, celui mis en œuvre dans le cadre d’un plan de continuité de l’activité destiné à lutter contre la pandémie grippale devra faire l’objet d’une information conforme à l’article 32 de la loi Informatique et libertés portée à la connaissance des personnes concernées. Cette information pourra avoir lieu via l’intranet ou la distribution d’une notice. En cas de collecte de données à l’aide d’un formulaire, celui-ci devra contenir une mention d’information spécifique.

    (1) Délib. Cnil 2009-476 du 10-9-2009, norme simplifiée n°14
    (2) Délib. Cnil 2005-002 du 13-1-2005, norme simplifiée n°46




  • Vote électronique pour les élections professionnelles

    Informatique et libertés

    SI Ressources humaines

    Vote électronique pour les élections professionnelles

    La Cnil a fait une recommandation sur le vote électronique pour les élections professionnelles. Elle y précise qu’il s’agit essentiellement du vote dématérialisé par internet et non du vote par téléphone, par machine à voter ou par boîtier. Se faisant, elle donne la liste des garanties à respecter et préconise notamment le scellement et le chiffrement ininterrompu du bulletin jusqu’au dépouillement. Elle rappelle, par ailleurs, que tout système de vote doit faire l’objet d’une déclaration à la Cnil, qui a pour mission de vérifier le respect de sa recommandation, dont elle peut également vérifier le respect par un contrôle sur place.

    Communiqué Cnil du 30 avril 2009

    (Mise en ligne Juin 2009)





    Parution du guide Cnil pour les employeurs et les salariés

    Informatique et libertés

    SI Ressources humaines

    Le guide pour les employeurs et les salariés est paru !

    La Cnil se propose, par la diffusion d’un « guide pour les employeurs et les salariés » (Guide Cnil du 17-11-2008), de parfaire l’information des salariés sur les droits dont ils disposent et de conseiller les employeurs pour une utilisation optimisée des outils et fichiers constitués en matière de gestion des ressources humaines. La loi du 6 janvier 1978 modifiée, dite loi Informatique et libertés, encadre en effet la collecte et le traitement des données à caractère personnel afférentes aux salariés en vue de garantir le respect de leur vie privée et de prévenir toute atteinte aux droits et libertés individuelles. Les employeurs étant susceptibles de voir leur responsabilité, notamment pénale, engagée du fait de l’inobservation des dispositions de la présente loi, la Cnil a souhaité mettre à leur disposition un guide précisant, en une cinquantaine de pages, les conditions de mise en oeuvre des diverses technologies. Il comporte en outre une douzaine de fiches pratiques portant notamment sur le contrôle de l’utilisation d’internet et de la messagerie, la vidéosurveillance sur les lieux de travail, la gestion de la téléphonie, les dispositifs de géolocalisation gsm/gps, l’utilisation de badges ou de la biométrie sur le lieu de travail.

    Cnil, guide du 17 novembre 2008

    (Mise en ligne Novembre 2008)




    Le vote électronique pour l’élection des IRP au comité d’entreprise

    Informatique et libertés

    SI Ressources humaines

    Précisions sur le vote électronique pour l’élection des IRP au comité d’entreprise

    Le Journal officiel vient de publier un arrêté (1) pris en application du décret du 25 avril 2007 relatif aux conditions et modalités de vote par voie électronique pour l’élection des délégués et des représentants du personnel au comité d’entreprise et modifiant le code du travail. Deux articles sont créés : l’article R.423-1-2 pour l’élection des délégués du personnel et l’article R.433-2-2 pour celle des représentants du personnel du CE. Ces deux articles précisent les modalités pratiques de mise en œuvre du vote électronique. La LCEN (2) avait déjà ouvert la voie au vote électronique pour les élections des représentants du personnel au sein de l’entreprise.

    (1) Arrêté du 25 avril 2007, JO, 27 avril 2007
    (2) L.2004-575 du 21 juin 2004, art. L.423-13 et L.433-9 C. trav

    Paru dans la JTIT n°65/2007 p.7

    (Mise en ligne Juin 2007)




    Les traitements de gestion du personnel

    Informatique et libertés

    SI Ressources humaines

    Les traitements de gestion du personnel

    Les traitements de données personnelles effectués dans le cadre des ressources humaines et de gestion du personnel sont des traitement qu’il convient tout particulièrement de surveiller au regard des obligations posées par la loi Informatiques et libertés modifiée en août 2004. En effet, ces traitements revêtent un large périmètre et sont susceptibles de mettre en jeu les principes clés de la loi Informatique. Lors de leur mise en œuvre, il convient de prêter une attention particulière aux conditions de licéité posées par la loi modifiée. A ce titre, la Cnil vient de fournir de nouveaux repères en publiant la norme simplifiée n°46 relative à la gestion des personnels. Cette nouvelle norme facilite les déclarations de traitements là où auparavant il s’avérait nécessaire de réaliser plusieurs déclarations normales.

    Le recours à la norme simplifiée n°46 implique préalablement de s’assurer que le traitement de données envisagé relève bien du périmètre de la nouvelle norme. Ce périmètre est extrêmement large puisqu’il couvre des finalités de traitements ou fichiers qui vont au-delà de la simple gestion des personnels : mise à disposition des personnels d’outils informatiques, gestion de la messagerie électronique et de l’accès à l’internet/intranet, gestion des autorisations d’accès aux applications et aux réseaux, gestion des carrières et de la formation des personnels, etc. Cependant, sont notamment exclus les traitements permettant un contrôle individuel de l’activités des employés ainsi que les traitements comportant la transmission de données hors Union européenne. Ainsi, les groupes internationaux doivent porter une attention particulière à cette dernière exclusion. La norme n°46 demeure une opportunité de simplification et doit être déployée au cas par cas. Son non-respect pouvant faire encourir un risque pénal, les spécificités de chaque organisme doivent être prises en compte.

    Délibération 2005-277 du 17 novembre 2005

    Délibération 2005-002 du 13 janvier 2005

    (Mise en ligne Novembre 2005)




    Une norme simplifiée étendue pour la gestion du personnel

    Informatique et libertés

    SI Ressources humaines

    Une norme simplifiée étendue pour la gestion du personnel

    La Cnil a adopté le 13 janvier 2005 une nouvelle norme simplifiée n° 46 pour la gestion du personnel. La norme comporte des limites en excluant notamment tous les traitements permettant un contrôle de l’activité des employés comme la cybersurveillance.

    Délibération n°2005-002 du 13 janvier 2005

    (Mise en ligne Janvier 2005)