DELIBERATION N°2005-002 DE LA CNIL DU 13 JANVIER 2005 PORTANT ADOPTION D’UNE NORME DESTINEE A SIMPLIFIER L’OBLIGATION DE DECLARATION DES TRAITEMENTS MIS EN ŒUVRE PAR LES ORGANISMES PUBLICS ET PRIVES POUR LA GESTION DE LEURS PERSONNELS (NORME SIMPLIFIEE N° 46)
J.O. n° 40 du 17 février 2005, texte n° 68 – NOR : CNIX0508057X
La Commission nationale de l’informatique et des libertés,
Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du travail ;
Vu les lois n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, n° 84-16 du 11 janvier 1984 portant dispositions statutaires relatives à la fonction publique de l’Etat, n° 84-53 du 26 janvier 1984 portant dispositions statutaires relatives à la fonction publique territoriale, et n° 86-33 du 9 janvier 1986 portant dispositions statutaires relatives à la fonction publique hospitalière ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés modifiée, et notamment son article 24 ;
Après avoir entendu M. Hubert Bouchet, commissaire, en son rapport et Mme Catherine Pozzo di Borgo, commissaire adjoint du Gouvernement, en ses observations ;
En vertu de l’article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l’informatique et des libertés est habilitée à établir des normes destinées à simplifier l’obligation de déclaration des traitements les plus courants et dont la mise en oeuvre, dans des conditions régulières, n’est pas susceptible de porter atteinte à la vie privée ou aux libertés.
Les traitements informatisés relatifs à la gestion de leurs personnels mis en oeuvre par des employeurs publics ou privés sont de ceux qui peuvent, sous certaines conditions, relever de cette définition.
Après avoir recueilli les observations des représentants des organisations professionnelles d’employeurs et d’employés, et des ministères concernés,
Décide :
Peut bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme tout traitement automatisé relatif à la gestion du personnel des organismes publics ou privés qui répondent aux conditions suivantes.
Le traitement peut avoir tout ou partie des finalités suivantes :
– la gestion administrative des personnels :
– gestion du dossier professionnel des employés, tenu conformément aux dispositions législatives et réglementaires, ainsi qu’aux dispositions statutaires, conventionnelles ou contractuelles qui régissent les intéressés ;
– réalisation d’états statistiques ou de listes d’employés pour répondre à des besoins de gestion administrative ;
– gestion des annuaires internes et des organigrammes ;
– gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement ;
– gestion des élections professionnelles ;
– gestion des réunions des instances représentatives du personnel ;
– gestion de l’action sociale et culturelle directement mise en oeuvre par l’employeur, à l’exclusion des activités de médecine du travail, de service social ou de soutien psychologique ;
– la mise à disposition des personnels d’outils informatiques :
– suivi et maintenance du parc informatique ;
– gestion des annuaires informatiques permettant de définir les autorisations d’accès aux applications et aux réseaux ;
– mise en oeuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés ;
– gestion de la messagerie électronique professionnelle, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés ;
– réseaux privés virtuels internes à l’organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet) ;
– l’organisation du travail ;
– gestion des agendas professionnels ;
– gestion des tâches des personnels, à l’exclusion de tout traitement permettant un contrôle individuel de leur productivité ;
– la gestion des carrières et de la mobilité :
– évaluation professionnelle des personnels, dans le respect des dispositions législatives, réglementaires ou conventionnelles qui la régissent, à l’exclusion des dispositifs ayant pour objet l’établissement du profil psychologique des employés ;
– gestion des compétences professionnelles internes ;
– validation des acquis de l’expérience professionnelle ;
– simulation de carrière ;
– gestion de la mobilité professionnelle ;
– la formation des personnels :
– suivi des demandes de formation et des périodes de formation effectuées ;
– organisation des sessions de formation ;
– évaluation des connaissances et des formations.
Les fonctionnalités de gestion informatisée des courriers et d’archivage électronique des documents produits dans le cadre des finalités précédemment décrites sont couvertes par la présente norme.
Les données traitées pour la réalisation des finalités décrites à l’article 2 sont :
a) pour l’identification de l’employé :
– identité : nom, prénom, photographie (facultatif), sexe, date et lieu de naissance, nationalité, coordonnées professionnelles, coordonnées personnelles (facultatif), matricule interne, références du passeport (uniquement pour les personnels amenés à se déplacer à l’étranger) ;
– type, numéro d’ordre et copie du titre valant autorisation de travail pour les employés étrangers en application de l’article R. 620-3 du code du travail ;
– le cas échéant, coordonnées des personnes à prévenir en cas d’urgence ;
– distinctions honorifiques (facultatif) ;
b) pour la gestion administrative de l’employé :
– gestion de la carrière de l’employé : date et conditions d’embauche ou de recrutement, date, objet et motif des modifications apportées à la situation professionnelle de l’employé, simulation de carrière, desiderata de l’employé en termes d’emploi, sanctions disciplinaires à l’exclusion de celles consécutives à des faits amnistiés ;
– gestion des déclarations d’accident du travail et de maladie professionnelle : coordonnées du médecin du travail, date de l’accident ou de la première constatation médicale de la maladie professionnelle, date du dernier jour de travail, date de reprise, motif de l’arrêt (accident du travail ou maladie professionnelle), travail non repris à ce jour ;
– évaluation professionnelle de l’employé : dates des entretiens d’évaluation, identité de l’évaluateur, compétences professionnelles de l’employé, objectifs assignés, résultats obtenus, appréciation des aptitudes professionnelles sur la base de critères objectifs et présentant un lien direct et nécessaire avec l’emploi occupé, observations et souhaits formulés par l’employé, prévisions d’évolution de carrière ;
– validation des acquis de l’expérience : date de la demande de validation, diplôme, titre ou certificat de qualification concerné, expériences professionnelles soumises à validation, validation (oui/non), date de la décision ;
– formation : diplômes, certificats et attestations, langues étrangères pratiquées, suivi des demandes de formation professionnelle et des périodes de formation effectuées, organisation des sessions de formation, évaluation des connaissances et des formations ;
– suivi administratif des visites médicales des employés : dates des visites, aptitude au poste de travail (apte ou inapte, propositions d’adaptation du poste de travail ou d’affectation à un autre poste de travail formulées par le médecin du travail) ;
– type de permis de conduire détenu par l’employé ;
– sujétions particulières ouvrant droit à congés spéciaux ou à un crédit d’heures de délégation (telles que l’exercice d’un mandat électif ou représentatif syndical, la participation à la réserve opérationnelle ou aux missions de sapeur-pompier volontaire) ;
c) pour l’organisation du travail :
– annuaires internes et organigrammes : nom, prénom, photographie (facultatif), fonction, coordonnées professionnelles, le cas échéant, formation et réalisations professionnelles ;
– agendas professionnels : dates, lieux et heures des rendez-vous professionnels, objet, personnes présentes ;
– tâches des personnels : identification des personnels concernés, répartition des tâches ;
– gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement : gestion des demandes, nature de la dotation, dates de dotation, de maintenance et de retrait, affectations budgétaires ;
– annuaires informatiques permettant de définir les autorisations d’accès aux applications et aux réseaux ;
– données de connexion enregistrées pour assurer la sécurité et le bon fonctionnement des applications et des réseaux informatiques, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés ;
– messagerie électronique : carnet d’adresses, comptes individuels, à l’exclusion de toute donnée relative au contrôle individuel des communications électroniques émises ou reçues par les employés ;
– réseaux privés virtuels de diffusion ou de collecte de données de gestion administrative des personnels (intranet) : formulaires administratifs internes, organigrammes, espaces de discussion, espaces d’information ;
d) pour l’action sociale et la représentation du personnel :
– gestion des activités sociales et culturelles mises en oeuvre par l’employeur : identité de l’employé et de ses ayants droit ou ouvrants droit, revenus, avantages et prestations demandés et servis ;
– élections professionnelles : établissement de la liste électorale (identité des électeurs, âge, ancienneté, collège), gestion des candidatures (identité, nature du mandat sollicité, éléments permettant de vérifier le respect des conditions d’éligibilité, le cas échéant appartenance syndicale déclarée par les candidats) et publication des résultats (identité des candidats, mandats concernés, nombre et pourcentage de suffrages obtenus, identité des personnels élus et, le cas échéant, appartenance syndicale des élus) ;
– gestion des réunions des instances représentatives du personnel : convocations, documents préparatoires, procès-verbaux.
Sont concernées par le traitement les personnes employées par des organismes publics ou privés, quelle que soit la nature de leur emploi.
Dans le respect des textes applicables, seules les données visées à l’article 3 strictement nécessaires à l’accomplissement de leurs missions sont communiquées aux destinataires suivants :
– les personnes habilitées chargées de la gestion du personnel ;
– les supérieurs hiérarchiques des employés concernés, à l’exclusion des données relatives à l’action sociale directement mise en oeuvre par l’employeur ;
– les instances représentatives du personnel : après recueil de l’accord exprès des intéressés, coordonnées professionnelles des employés et données strictement nécessaires à leur représentation ;
– les délégués syndicaux : coordonnées professionnelles des employés après accord formalisé avec l’employeur et recueil de l’accord exprès des intéressés, et données strictement nécessaires à la défense des intérêts des employés.
Ces destinataires assurent la stricte confidentialité des données personnelles en leur possession.
Les données visées à l’article 3 ne sont pas conservées par les services gestionnaires au-delà de la période d’emploi de la personne concernée, sans préjudice de dispositions législatives ou réglementaires propres à certaines catégories de données imposant une durée de conservation particulière ou la suppression de ces données.
Les données relatives aux sujétions particulières ouvrant droit à congés spéciaux ou à un crédit d’heures de délégation ne sont pas conservées au-delà de la période de sujétion de l’employé concerné.
Au-delà, ces données peuvent être archivées sur un support informatique distinct et à accès très limité, conformément aux règles applicables en matière d’archives publiques et d’archives privées.
Les personnes concernées sont informées de l’identité du responsable du traitement, des finalités poursuivies, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d’un défaut de réponse, des destinataires des données, et de leurs droits d’opposition, pour des motifs légitimes, au traitement de leurs données sauf dans les cas où le traitement répond à une obligation légale, d’accès aux données les concernant et de rectification de ces données.
Cette information est délivrée à tout employé par la remise d’un document écrit ou par voie électronique.
Le responsable du traitement procède également, conformément aux dispositions du code du travail et à la législation applicable aux trois fonctions publiques, à l’information et à la consultation des instances représentatives du personnel avant la mise en oeuvre des traitements visés à l’article 2.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données visées à l’article 3 et, notamment, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
En particulier, des mesures permettant de contrôler les accès au traitement et de sécuriser les communications des données sont mises en oeuvre.
Tout traitement non conforme aux dispositions des articles 2 à 8 de la présente décision ne peut faire l’objet d’une déclaration simplifiée auprès de la CNIL en référence à la présente norme.
Ne peut également prétendre au bénéfice de la déclaration simplifiée en référence à la présente norme le traitement comportant la transmission de données visées à l’article 3 vers des pays tiers à l’Union européenne, y compris lorsque cette transmission est réalisée dans le cadre d’opérations de sous-traitance.
La norme simplifiée n° 37 établie par délibération n° 93-021 du 2 mars 1993 est abrogée.
La présente délibération est publiée au Journal officiel de la République française.
Le Président, Alex TURK.