Protection des données individuelles et entreprises
Droits et devoirs respectifs
Guide de la CNIL octobre 2005

Les 7 principes de la loi du 6 Août 2004 :

Finalité
Proportionnalité
Pertinence des données
Durée de vie
Sécurité / confidentialité
Transparence

(tout doit être clairement énoncé à l'employé AVANT la collecte / employeur responsable de leur observation dans les services / déclaration ou autorisation à la CNIL )
Droit de l'employé

Les droits de l'employé :
Être informé des démarches concernant ses données
Avoir accès aux données stockées sur lui
Avoir le droit de les rectifier
Avoir le droit de supprimer les erreurs constatées (employeur qui doit apporter la preuve)
Avoir le droit de s'opposer à la publication de données personnelles

EMPLOYEUR =====> objet de négociation <===== EMPLOYE

Recrutement
Interdit :
- les fausses annonces
- collecte d'infos à l'insu du candidat (précédents employeurs,
voisinage) …
- collecte sur origine raciale, opinions politiques, religieuses
santé, vie sexuelle - sauf nécessités pour le poste … )
- recrutement purement automatisé

Devoirs de l'employeur :
- rapidité du traitement (max 2 ans)
- Informer : des données recueillies, des traitements
des données
- respect du traitement annoncé, des finalités et imperméabilité

Usages d'Internet
Agrément pour usage personnel à discrétion de l'entreprise qui a le droit de fixer ses conditions
(pare-feu / blocage de certains sites, interdiction de téléchargement de logiciels, de forum, de chats, boite aux lettres perso … )

Contrôle autorisé non au niveau d'une personne mais d'un service (connu des utilisateurs )

Si contrôle individuel :
- déclaration préalable à la CNIL
- pas plus de six mois

Messagerie
Tout message envoyé depuis le poste de travail est par essence professionnel
sauf si explicitation claire par :
- l'objet du message
- son lieu de stockage

L'employeur est responsable de la protection de la vie privée / toujours le principe de transparence et d'information à donner (par ex sur la durée de vie des archivages)

Si vérification individuelle :
- déclaration à la CNIL (sauf si CIL)
- en informer les représentants du personnel

Vidéosurveillance
Un lieu de travail est un lieu juridiquement privé : 45 000 Euros d'amende en cas de violation
Exemples :
- vestiaire, douches, toilettes
- à des fins non avouées (ex : activité syndicale)
- à l'insu des personnes
- à un public très ciblé

AVANT :
consultation / information des personnes concernées /
déclaration à la CNIL (sauf CIL) pour les lieux " ouverts au public "
si non, autorisation auprès de la préfecture

APRES :
seul accès aux personnes habilitées
durée de conservation limitée

Téléphone
OK pour une utilisation " raisonnable, non préjudiciable à l'employeur " Non accès aux n° appelés (sauf cas exceptionnels)
Pas plus d'un an de stockage des traçages
Pas de surveillance des appels syndicaux (téléphones non connectés à l'autocommutateur)

Interdiction des écoutes et enregistrements d'appels
sauf cas exceptionnels / utilisateur concerné averti + déclaration à la CNIL (sauf si CIL)

Mobile : mieux vaut en garder le financement en partie (système du forfait mensuel)
pour éviter toute intrusion dans la vie privée

Badges et géosurveillance
Traçage des allées et venues
Traçage de la consommation

Vraie menace pour les libertés individuelles !
- toujours les mêmes 7 principes de la loi
- déclaration simplifiée (rien si CIL) sauf données biométriques


Données biométriques

Empreinte digitale, contour de main, de visage, iris
Nous n'en sommes qu'au début …
Toutes ces données ne sont pas équivalentes :
- celles qui restent tracées et les autres …
- leur traitement (notamment leur stockage dans une base de données ou non)

Fondement : les 7 principes
Dans tous les cas : demande d'autorisation

Le CIL
(Correspondant Informatique et liberté)

Toutes les entités juridiques sont concernées

Sa désignation :
- par l'employeur (responsable du traitement des données)
- informe la CNIL du profil du poste et des compétences du CIL
- CNIL peut demander son " détachement de poste "

Son rôle :
- veiller au respect de la loi Informatique et Liberté
- être consulté sur tous les traitements existant et nouveaux
- médiateur entre le DSI et les personnes concernées
- bilan annuel à la disposition de la CNIL
- dépend du chef d'entreprise mais n'est pas redevable aux syndicats

Avantages pour l'entreprise :

- déclarations simplifiées (plus que des demandes d'autorisation exceptionnelles)
- bienveillance en cas de litiges …

Rôle de l'administrateur informatique
Pouvoirs importants:
accès à l'ensemble des infos, des courriers, des fichiers

Tenu au secret professionnel

Déontologie :
- sécurité des données et bon fonctionnement des systèmes
- avertir l'utilisateur de toutes les dispositions prises (quand, quoi,
comment , pourquoi … )

Pas soumis à une déclaration CNIL

Anne Marie Husson & Michel Arnaud