• UK flag
Accueil

Professionnels ou non, retrouvez nos centres d'intérêts et jurisprudences

Cette page se veut le reflet concret de l'actualité du cabinet: formations, flash info, articles, interventions ou jurisprudence.

Certains fichiers peuvent nécessiter Acrobat Reader

acrobat_reader Google
POINT DROIT SOCIAL

Informatique, droits et liberté du salarié

Relations collectives du travail

I/Informatique droits et libertés du salarié et relations individuelles du travail

A/ du point de vue du salarié

1/ les conditions de travail

Le travail sur écran

Un décret du 14 mai 1991 relatif aux salariés qui utilisent régulièrement un écran dans le cadre de leur travail. L'objectif du texte est d'éviter les troubles de santé, notamment de vue et de dos. Ne sont pas concernés les postes de conduite de véhicule de conduite ou d'engin (ex: écran de GPS), les écrans utilisés par le public, les machines à calculer aux caisses enregistreuses, les agendas électroniques. Si la moitié du temps de travail est occupé au travail sur écran d'un ordinateur portable la réglementation s'applique.

Mesures à prévoir:

Un temps de repos spécifique doit être prévu.

Les écrans doivent être lisibles (taille des caractères, écran inclinable et orientable, idem pour le clavier, lettres suffisamment visible, la surface du plateau du bureau ne doit pas être réflechissante, siège adaptable en hauteur, humidité suffisante de l'atmosphère, faire attention à l'éclairage pour éviter les reflets)

 

2/L’alerte professionnelle ou « whistleblowing » (suivre le lien CNIL)

La CNIL a défini dans une délibération les modalités de l'alerte professionnelle.

Il s'agit de l'application en droit interne de ce que prévoit aux USA la loi dite «Sarbanes-Oxley» de juillet 2002. Il s'agit de dispositifs permettant à des employés de signaler le comportement de leurs collègues de travail supposé contraire à la loi ou aux règles établies par l’entreprise.

Cela concerne tous les actes qui seraient contraire aux lois, règlements, conventions et accords collectifs du travail qui constitueraient une atteinte individuelle ou collective du travail, à la santé physique et mentale des salariés.

La CNIL a précisé que le système d'alerte devait être facultatif, limité dans son champ. Les dispositifs doivent être connus des salariés.

Cass soc 12 juillet 2006: un salarié avait porté à la connaissance du procureur de la république des malversations de son employeur.

Cass soc 8 novembre 2006.

 

 

B/Du point de vue de l’employeur
1/Une affaire de contrôle

Cass soc 20 novembre 1991"Neocel". La Cour de cassation pose le principe que:"si l'employeur a le droit de contrôler et de surveiller l'activité de ses salariés pendant le temps du travail tout enregistrement quels qu'en soient les motifs, d'images ou de paroles à leur insu, constitue un mode de preuve illicite."

Cass crim 24 janvier 1995: enregistreur à déclencheur vocal caché dans un faux plafond à l'insu des salariés.

Cass soc 18 juillet 2000: dans une banque, une personne consultait les comptes de personne alors que cela ne relevait pas de ses fonctions particulières. Les consultations étant tracées...La consultation de nombreux comptes par pure curiosité personnelle sans qu'aucun lien ne puisse être établi avec ses tâches professionnelles constitue une faute grave.

Cass soc 15 mai 2001: contrôle d'un distributeur de boissons installé à l'insu des salariés.

Le badgeage et ses variantes (empreintes digitales)

CNIL:délibération du 8 janvier 2002 autorise le système de badgeage mais doit faire l'objet d'une déclaration préalable. En revanche, l'employeur est dispensé de déclaration s'il a désigné un CIL. Mais s'il existe des données biométriques, il faut une autorisation de la CNIL.

La norme simplifié 42 détermine les règles:

Le traitement ne doit pas avoir d'autres finalités que :

- le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de l'entreprise ou de l'administration faisant l'objet d'une restriction de circulation;

- la gestion des horaires et des temps de présence;

- le contrôle de l'accès au restaurant d'entreprise ou administratif et la gestion de la restauration ainsi que la mise en place d'un système de paiement associé;

- le contrôle d'accès des visiteurs.

Les informations suivantes peuvent être collectées :

a) Identité : nom, prénom, numéro de matricule interne, corps d'appartenance, grade. Photographie.

b) Vie professionnelle : service, plages horaires habituellement autorisées, zones d'accès habituellement autorisées, congés, autorisations d'absences, jours de réduction du temps de travail, décharge d'activité de service et autres absences (motifs, droits et décomptes).

c) Badges : numéro du badge ou de la carte, date de validité.

d) En cas d'accès à un parking : numéro d'immatriculation du véhicule, numéro de place de stationnement.

e) Visiteurs : nom, prénom, date et heure de visite, société d'appartenance et nom du salarié ou de l'agent public accueillant le visiteur.

f) Heures d'entrée et de sortie, n° de la porte utilisée.

g) En cas de gestion de la restauration, les informations relatives à la date du repas ainsi qu'au type de consommation, sous la forme exclusive : "hors d'œuvres", "plat", "dessert", "boisson".

h) Prix des consommations et moyen de paiement, part patronale ou de l'administration, solde.

 

CE 29 décembre 1995 Syndicat des personnels de l'énergie atomique du Tricastin (antérieure à la NS 42): la mise en place de badge de couleur différente en fonction des personnels qui interviennent sur un site nucléaire, ne viole pas les dispositions de l'article L122-35 du code du travail (relatif au règlement intérieur).

 

TGI 19 avril 2005: utilisation d'un lecteur biométrique avec lecture des empreintes digitales. La société ayant mis en place ce système se voit interdire d'utiliser ce système car cela constituerait une atteinte disproportionnée à la liberté prévu par l'article L120-2 du code du travail:"Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché."

 

Dans l'année 2005, la CNIL a pris plusieurs délibérations. (Semaine Sociale Lamy 14 janvier 2008 n°1336) la finalité d'un système de reconnaissance doit être limitée.

Pour la CNIL définit la biométrie: tous système permettant de déterminer les caractèristiques biologiques, physique, comportemental.

La CNIL ne labelise aucune sociétés vendent des systèmes biométriques.

 

Les demandes d'autorisation sont ordinaires ou simplifiées.


La géolocalisation

Sur l’utilisation générale du téléphone

Délibération du 16 mars 2006. Il faut distinguer la géolocalisation concernant un véhicule effectuant un transport routier, personne, service de ceux conduit par un salarié devant utiliser son véhicule pour son emploi. Dans le deuxième cas, la CNIL s'oppose à la géolocalisation.

NS n°51 prévoit une déclaration en matière de géolocalisation :

Le traitement peut avoir tout ou partie des finalités suivantes :

a) le respect d’une obligation légale ou réglementaire imposant la mise en œuvre d’un dispositif de géolocalisation en raison du type de transport ou de la nature des biens transportés ;
b) le suivi et la facturation d’une prestation de transport de personnes ou de marchandises ou d’une prestation de services directement liée à l’utilisation du véhicule ;
c) la sûreté ou la sécurité de l’employé lui-même ou des marchandises ou véhicules dont il a la charge ;
d) une meilleure allocation des moyens pour des prestations à accomplir en des lieux dispersés, notamment pour des interventions d’urgence.

Le traitement peut avoir pour finalité accessoire le suivi du temps de travail, lorsque ce suivi ne peut être réalisé par d’autres moyens.

Les données traitées pour la réalisation des finalités décrites à l’article 2 sont :

a) l’identification de l’employé : nom, prénom, coordonnées professionnelles, matricule interne, numéro de plaque d’immatriculation du véhicule ;
b) les données relatives aux déplacements des employés : données de localisation issues de l’utilisation d’un dispositif de géolocalisation, historique des déplacements effectués ;
c) les données complémentaires associées à l’utilisation du véhicule : vitesse de circulation du véhicule, nombre de kilomètres parcourus, durées d’utilisation du véhicule, temps de conduite, nombre d’arrêts.

Sauf si une législation particulière le permet, le traitement de la vitesse maximale ne peut s’effectuer, conformément à l’article 9 de la loi qui interdit notamment aux personnes privées de mettre en œuvre des traitements visant à faire directement apparaître des données relatives aux infractions.

Peuvent seules, dans la limite de leurs attributions respectives, être destinataires des données à caractère personnel traitées dans le cadre d’un dispositif de géolocalisation les personnes qui, dans le cadre de leur fonction, peuvent légitimement en avoir connaissance au regard de la finalité du dispositif telles que les personnes en charge de coordonner, de planifier ou de suivre les interventions, les personnes en charge de la sécurité des biens transportés ou des personnes ou, le cas échéant, le responsable des ressources humaines.

Ecoutes téléphoniques

TGI Paris 4 avril 2006: le système d'écoute des conversations téléphoniques avec les clients de France Télécom doit faire l'objet d'une déclaration à la CNIL

Cass Soc 23 mai 2007 (arrêt "SMS") Un notaire écoutait les conversations privées à l'insu des salariés.

La CNIL a dit que l'on devait tolérer l'utilisation privée du téléphone en entreprise dans des limites raisonnables ce qui induit que l'utilisation abusive peut être sanctionnée: Cass Soc 11 juillet 1995 (utilisation journalière et continuelle) et 14 mars 2000(pour un salarié d'une société d'information boursière).

Cass soc 10 mai 2006: l'employeur faisait utiliser (avec l'accord du CE) les bons de délégation à chaque fois que le téléphone était utilisé. La Cour de Cassation sanctionne car les bons de délégations ne servent que pour la circulation et non l'usage du téléphone.

 

NS n°47 concernant les traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de l’utilisation de services de téléphonie fixe et mobile sur les lieux de travail

Seuls peuvent être déclarés en référence à la présente norme, les traitements mis en œuvre par les entreprises ou organismes privés et publics pour les finalités suivantes :

a) la gestion de la dotation en matériel téléphonique et la maintenance du parc téléphonique ;

b) la gestion de l’annuaire téléphonique interne à savoir, la constitution, l’édition et la diffusion de listes nominatives des utilisateurs des services téléphoniques ;

c) la gestion technique de la messagerie interne de l’organisme ;

d) le remboursement des services de téléphonie utilisés à titre privé par les employés lorsque le caractère privé de l’utilisation de ces services est déterminé par les employés eux-mêmes ;

e) la maîtrise des dépenses liées à l’utilisation professionnelle des services de téléphonie, à savoir l’établissement et l’édition des relevés liés à l’utilisation des services de téléphonie, le calcul du coût de cette utilisation et l’établissement de statistiques anonymes ;

f) la maîtrise des dépenses liées à l’utilisation effectuée à titre privé des services de téléphonie, dans les conditions prévues à l’article 6 de la présente norme.

Les traitements concernés par la présente norme sont exclusifs de tout dispositif permettant l’écoute ou l’enregistrement d’une communication, ou la localisation d’un employé à partir de l’usage de son téléphone mobile.

 

Peuvent seules être collectées et traitées les données suivantes :

a) identité de l’utilisateur du service téléphonique : nom, prénom et numéro de ligne ;

b) situation professionnelle : fonction, service, adresses professionnelles y compris électroniques ;

c) utilisation des services de téléphonie : numéro de téléphone appelé, service utilisé, opérateur appelé, nature de l’appel (sous la forme : local, départemental, national, international), durée, date et heure de début et de fin de l’appel, éléments de facturation (nombre de taxes, volume et nature des données échangées à l’exclusion du contenu de celles-ci et coût du service utilisé).

Lorsque des relevés justificatifs des numéros de téléphone appelés sont établis, les quatre derniers chiffres de ces numéros sont occultés, à l’exception des hypothèses prévues à l’article 6 de la présente norme.

Une entreprise ou un organisme privé et public peut éditer, soit par l’intermédiaire de l’autocommutateur qu’il aura mis en place, soit par l’intermédiaire de l’opérateur auprès duquel il est client, l’intégralité des numéros de téléphone appelés ou le détail des services de téléphonie utilisés dans les deux cas suivants.

Dans le cas où un remboursement est demandé aux employés pour les services de téléphonie utilisés à titre privé, lorsque le montant demandé est contesté par l’employé auquel il se rapporte, un relevé justificatif complet des données relatives à l’utilisation des services de téléphonie comprenant l’intégralité des numéros de téléphone appelés peut être établi à des fins de preuves.

Dans le cas où l’employeur constate une utilisation manifestement anormale au regard de l’utilisation moyenne constatée au sein de l’entreprise ou de l’organisme privé et public des services de téléphonie, un relevé justificatif complet des numéros de téléphone appelés ou des services de téléphonie utilisés peut être établi de façon contradictoire avec l’employé concerné.

Cass soc 6 avril 2004: la cour vise une recommandation de la CNIL.Un délégué syndical disposait d'un matériel permettant l'interception de ses communications et l'identification de ses correspondants.

 

Sur l’utilisation générale de l’ordinateur: la cyber surveillance
Internet et messagerie

La position de la CNIL: « Seuls ont vocation à être consultés les sites Internet présentant un lien direct et nécessaire avec l’activité professionnelle, sous réserve que la durée de connexion n’excède pas un délai raisonnable et présente une utilité au regard des fonctions exercées ou des missions à mener. »
« Une consultation ponctuelle et dans des limites raisonnables du web, pour un motif personnel, des sites Internet dont le contenu n’est pas contraire à l’ordre public et aux bonnes moeurs et ne mettant pas en cause l’intérêt et la réputation de l’organisation est tolérée. »

Cass soc 18 octobre 2006 (2 arrêts): un dossier informatique est présumé professionnel et consultable par l'employeur sauf s'il est identifié comme personnel.

L'exception est l'urgence (ex: attaque virale).

Cass crim 19 mai 2004: un salarié est condamné pour abus de confiance. Il avait utilisé son ordinateur pour consulter des sites à caractère pornographique ou stocker des messages ou photos de même nature. La Cour a considéré que le prévenu avait détourné son ordinateur et la connexion internet de l'usage pour lequel ils avaient été mis à sa disposition.

Cass soc 2 juin 2004: envoi de mail antisémite par un salarié. La Cour dit que cela est "nécessairement constitutif d'une faute grave".

Cass soc 17 mai 2005: on découvre le tiroir du bureau d'un salarié des photos à caractère pornographique. Une recherche est faite par l'employeur sur le disque dur de son ordinateur et découvre un répertoire intitulé "perso" contenant des dossiers étrangers aux fonctions du salarié. Il est licencié pour faute grave. L'employeur est sanctionné car la Cour considère "sauf risuqe ou évènement particulier, l'employeur ne peut ouvrir les fichiers identifiés par la salarié comme personnels contenus sur le disque dur de l'ordinateur mis à sa disposition qu'en présence de ce dernier ou celui ci dument appelé."

CA PARIS 14 mai 2004: à propos de mails pornographiques. Un employeur est informé que son salarié a envoyé un mail à caractère pornographique. Il le licencie. La Cour considère qu'il n'y a pas de violation du secret des correspondances mais que la brièveté des courriers et leur caractère anodin, et l'absence de preuve de ce que cela perturbait durablement le système informatique de l'entreprise, le licenciement n'avait pas de cause réelle et sérieuse.

2/Une affaire de preuve

Cass crim 30 mars 1999: l'obtention de moyens de preuve par des moyens déloyaux n'empêche pas au juge d'instruction de les joindre au dossier dès lors que l'on peut les discuter contradictoirement.

CE 7 juillet 2000: un employeur fait constater par huisser la faute de son salarié protégé dont il obtient l'autorisation de le licencier.

CPH Nanterre 16 juillet 1999: un salarié est licencié pour s'être connecté à un site pornographique. L'employeur est sanctionné car il n'en avait pas gardé la preuve.

 

II/Informatique droits et liberté du salarié et relations collectives du travail

A/Le rôle du CE

Cass 8 décembre 2004:

Sa consultation

Cass crim 17 juin 1986

Cass soc 9 juillet 1997: L434-6 du code du travail


La gestion des activités sociales et culturelles par le CE

La CNIL dispense de déclaration préalable le traitement des données personnelles des salariés dans ce cas là aux CE.


Internet et extranet

 

B/le CHSCT

L236-2 du code du travail:

 

C/ les syndicats

Si on utilise le site intranet de l'entreprise; Cass Crim 10 mai 2005: injure publique par le syndicat Sud PTT mettant en cause le directeur régional de la poste.

CA PARIS 3 mars 2004 le syndicat avait utilisé ala messagerie pour envoyer des tracts (L410-18) sans l'accord de l'entreprise est illicite et interdit.

Il est possible de prévoir dans un accord collectif les conditions d'utilisation de l'intranet de l'entreprise en prévoyant un site ou une rubrique du syndicat sur celui de l'entreprise.

 

La CNIL a prise une délibération: les salariés devaient être préalablement informés.

 

Le CIL (correspondant informatique et liberté)

QUI?

comptable, consultant...).
b) Un choix limité lorsque plus de 50 personnes sont chargées de la mise en oeuvre
des traitements ou y ont directement accès
Si, le recours à un correspondant externe est une solution permettant à de petites entités
de bénéficier aussi du dispositif, en revanche, pour de plus grosses structures
ou pour celles mettant en oeuvre des traitements plus importants, l’externalisation
de ses fonctions risque de ne pas répondre aux besoins de proximité et de disponibilité
du correspondant.
Ainsi, lorsque plus de 50 personnes sont chargées de la mise en oeuvre des traitements
ou y ont directement accès, le choix du correspondant externe est limité.
III. Qui peut exercer les fonctions
de correspondant ?
1 Doivent être considérées comme des « personnes chargées de la mise en oeuvre des traitements ou y ayant
directement accès », toutes les personnes chargées de développer et d’assurer la maintenance de l’application
(service informatique), tous les utilisateurs chargés notamment de saisir les données ou de les consulter
(services opérationnels comme par exemple la direction des ressources humaines, la direction marketing, le service
comptabilité....) ainsi que toutes les personnes qui, en raison de leurs fonctions ou pour les besoins
du service, accèdent aux données enregistrées.
8
Seul peut être désigné comme correspondant :
- un salarié de l’organisme,
- un salarié d’une des entités du groupe de sociétés auquel appartient l’organisme,
- un salarié du groupement d’intérêt économique dont est membre l’organisme,
- une personne mandatée à cet effet par un organisme professionnel 1,
- une personne mandatée à cet effet par un organisme regroupant des responsables de
traitement d’un même secteur d’activité 2.
2. Une personne qualifiée
La loi prévoit que le correspondant est une personne bénéficiant des qualifications
requises pour exercer ses missions. Aucun agrément n’est prévu et aucune exigence de
diplôme n’est fixée.
Néanmoins, le correspondant doit disposer de compétences adaptées à la taille et à
l’activité du responsable de traitement.
Ces compétences et qualifications doivent porter tant sur la législation relative à la
protection des données à caractère personnel que sur l’informatique et les nouvelles
technologies, sans oublier le domaine d’activité propre du responsable des traitements.
Ainsi, si la connaissance de la loi Informatique et Libertés est essentielle, les
connaissances du correspondant devront aussi porter sur les législation particulières au
secteur d’activités du responsable de traitement (par exemple en matière de commerce
électronique, de santé ou du travail..), sur les règles spécifiques aux conditions de recueil
et de traitement de certaines données (données couvertes par exemple par le secret
médical, le secret bancaire...).
En informatique, une connaissance du vocabulaire et des métiers de l’informatique parait
également nécessaire, de même que des différents modes de traitement des données.
Les connaissances du correspondant porteront par exemple sur les systèmes de gestion
et d’exploitation de bases de données, les types de logiciels et modes de stockage de
données, les types de fichiers, ainsi que sur les éléments d’une politique de confidentialité
et de sécurité (chiffrement des données, signature électronique, biométrie,...). Elles
doivent lui permettre de suivre le déploiement des projets informatiques et de conseiller
utilement le responsable de traitement.
1 Le correspondant peut aussi être mandaté par l’organisme professionnel auquel appartient le responsable de
traitements ou l’organisme regroupant des responsables de traitement dont relève le responsable de traitement.
Ainsi, un organisme professionnel (par exemple un syndicat professionnel) peut proposer au responsable de
traitement de désigner une personne qu’il aura mandaté à cet effet. Il peut s’agir d’un salarié de l’organisme
professionnel, mais aussi d’un professionnel indépendant avec lequel l’organisme aura conclu une convention
définissant les qualifications exigées et les conditions d’exercice des missions (règles de confidentialité, disponibilité,
moyens...). Cette solution paraît notamment adaptée pour des organismes professionnels ayant adopté des codes
de conduites liés à l’application de la loi Informatique et Libertés. Le correspondant aurait dans ce cas également
pour mission de veiller à l’application du code de conduite.
2 Plusieurs responsables de traitement peuvent décider de « mutualiser » la fonction de correspondant. Ils doivent
appartenir à un même secteur d’activité. Cette solution vise principalement les établissements publics de
coopération intercommunale (EPCI), comme les communautés de commune, d’agglomérations etc., mais elle peut
aussi concerner par exemple des regroupements d’associations au sein de fédérations.
9
Lorsque le correspondant ne dispose pas de l’ensemble des qualifications à la date de sa
désignation, il doit les acquérir. Il appartient au responsable de traitement, en accord avec
le correspondant, de définir les formations nécessaires.
Lorsque le correspondant est une personne morale, les conditions de qualification sont à
remplir de façon complémentaire par le préposé exerçant les fonctions de correspondant
et la structure ou l’organisme l’employant. Ainsi, lorsque le préposé a un profil de juriste,
mais que le correspondant dispose en son sein de personnes qualifiées sur le plan
technique et que ces derniers sont chargés d’épauler le préposé dans l’exercice des
fonctions de correspondant, il est considéré que les conditions de qualification sont
remplies.
3. Une personne indépendante
Le correspondant doit exercer ses missions de manière indépendante. Il doit en
conséquence disposer d’une autonomie d’action reconnue par tous.
• Le correspondant est directement rattaché au responsable de traitement
Directement rattaché au responsable de traitement, il pourra ainsi lui apporter les
conseils, recommandations et alertes nécessaires lors de la mise en oeuvre de
traitements ou dans l’instruction des plaintes et requêtes adressées par les personnes
concernées.
• Le correspondant a un rôle reconnu
Le correspondant ne reçoit aucune instruction pour l’exercice de sa mission. Cette
disposition ne signifie pas qu’il agit seul et sans concertation. Au contraire, il peut, et doit
dans certains cas, recueillir ou susciter l’avis d’autres personnes ou services concernés
par l’exercice de ses missions. Toutefois, il arrête seul les décisions se rapportant à
l’exercice de ses fonctions (avis, recommandations, audits, alertes...).
• Le correspondant est à l’abri des conflits d’intérêt
L’absence de conflit d’intérêt avec d’autres fonctions exercées parallèlement est de nature
à apporter les garanties de l’indépendance du correspondant. Ainsi, le responsable de
traitement ne peut être désigné correspondant. D’autres fonctions pourraient s’avérer
incompatibles. Ainsi en est-il des fonctions impliquant une délégation de fait ou de droit
des pouvoirs propres au responsable des traitements, comme celui de décider de la
finalité du traitement, de définir les objectifs poursuivis ainsi que les moyens d’y mettre
fin.
• Le correspondant est protégé des sanctions de l’employeur
Le correspondant ne peut faire l’objet de sanctions de l’employeur du fait de l’exercice
de ses missions, sauf en cas de manquements graves dûment constatés et qui lui soient
directement imputables. Afin d’assurer l’effectivité de cette protection, la CNIL devra être
avertie de toute modification affectant sa fonction. Il ne pourra notamment y être mis fin
sans que la CNIL en connaisse les raisons.

POURQUOI?

1. Tenir la liste des traitements
Dans les trois mois suivant sa désignation, le correspondant doit dresser une liste des
traitements automatisés pour lesquels il a été désigné. Cette liste peut bien entendu être
tenue de manière informatisée.
a) Le contenu de la liste
La liste précise pour chaque traitement :
- le nom et l’adresse du responsable du traitement et, le cas échéant, de son représentant ;
- la ou les finalités du traitement ;
- le ou les services chargés de la mise en oeuvre ;
- l’indication de la fonction de la personne ou du service auprès desquels s’exerce le droit
d’accès ;
- une description de la ou des catégories de personnes concernées et des données ou des
catégories de données s’y rapportant ;
- les destinataires ou les catégories de destinataires auxquels les données sont
susceptibles d’être communiquées ;
- la durée de conservation des données traitées.
b) La mise à jour de la liste
- la liste, une fois constituée, doit être tenue à jour ;
- les traitements mis en oeuvre après la désignation du correspondant doivent y être
répertoriés au fur et à mesure de leur mise en oeuvre ;
- l’objet et la date des modifications de ces traitements doivent être portés sur la liste dès
lors qu’elles portent sur des caractéristiques essentielles du traitement appelées à
figurer dans la liste.
c) La publicité de la liste
A l’instar du « fichier des fichiers » tenu par la CNIL qui recense les traitements soumis à
déclaration, la liste des traitements dispensés tenue par le correspondant doit être
accessible à toute personne en faisant la demande.
Cette mise à disposition implique un droit de consultation et un droit de communication
sans que le demandeur ait à justifier de motif.
Le responsable des traitements peut décider d’effectuer spontanément cette publicité,
par exemple sur le site internet de l’organisme pour les traitements intéressant les clients
ou les usagers, et sur les lieux d’affichage réservés au personnel.

2. Veiller à l’application de la loi
Le correspondant est chargé d’assurer, d’une manière indépendante, le respect des obligations
prévues dans la présente loi. Il veille ainsi à l’application de la loi Informatique et Libertés
aux traitements pour lesquels il a été désigné.
a) Conseil et recommandation
Le correspondant est obligatoirement consulté préalablement à la mise en oeuvre des
traitements. A cette fin, il peut faire toute recommandation au responsable des traitements.
b) Médiation
Le correspondant reçoit les réclamations et requêtes des personnes concernées par les
traitements pour lesquels il a été désigné, s’assure de leur transmission aux services intéressés
et leur apporte son conseil dans la réponse apportée au requérant. Il veille également au
respect du droit d’accès et d’opposition et à l’information des personnes sur leurs droits.
A cet effet, il contribue à l’élaboration et à la bonne diffusion de notes d’information, d’affiches,
etc. afin de diffuser une « culture Informatique et Libertés » au sein de l’organisme.
c) Alerte
Le correspondant informe le responsable de traitement des manquements constatés et
le conseille dans la réponse à apporter pour y remédier. Dans certains cas, lorsque cela
se justifie réellement, il peut arriver que le correspondant saisisse la CNIL des difficultés
qu’il rencontre dans l’exercice de ses missions (par exemple : absence de consultation du
correspondant avant la mise en oeuvre des traitements, impossibilité d’exercer ses
fonctions du fait de l’insuffisance des moyens..., mais aussi difficultés d’application des
dispositions législatives et réglementaires ). Bien sûr, ceci ne sera possible qu’après que
le correspondant ait effectué les démarches nécessaires auprès du responsable de
traitements et que celles-ci soient demeurées infructueuses.
d) Rendre compte de son action
Le correspondant établit un bilan annuel de ses activités qu’il présente au responsable
des traitements et qu’il tient à la disposition de la CNIL.
e) Autres missions
D’autres missions peuvent, de convention expresse, être confiées au correspondant. Elles
peuvent porter, sans que cette liste soit exhaustive, sur :
- l’extension de son champ de compétence à l’ensemble des traitements mis en oeuvre par
l’organisme (traitements automatisés ou non, traitements soumis à autorisation ou avis,
traitements exonérés par la loi ou par la CNIL) ;
- l’élaboration des dossiers de formalités auprès de la CNIL pour les traitements non exonérés ;
- l’extension de la tenue de la liste aux traitements non dispensés ;
- l’élaboration d’une politique de protection des données à caractère personnel (par exemple,
dans le cadre d’une charte sur l’utilisation de moyens informatiques et sur la sécurité,
dans le cadre d’un règlement intérieur...) ;
- la sensibilisation des personnels aux dispositions de la loi sous forme de brochures
explicatives, de mesures diffusées sur l’intranet, d’actions de formations…. ;
- l’élaboration et le contrôle de l’application de codes de conduite spécifiques.

COMMENT?

d’effet de la désignation
La désignation d’un correspondant à la protection des données prend effet un mois après
la date de réception de la notification par la CNIL.
4. Les modifications relatives à la désignation
Toute modification substantielle affectant les informations mentionnées dans la
désignation précédemment notifiée est portée à la connaissance de la CNIL par
lettre recommandée avec demande d’avis de réception.
5. L’information de la CNIL en cas de remplacement du correspondant
Le responsable de traitement doit informer la CNIL du remplacement du correspondant
par lettre recommandée avec avis de réception. Les circonstances et les motifs qui
justifient le remplacement (démission du correspondant, demande de remplacement
émanant du correspondant, terme contractuel pour les correspondants externes...)
doivent être indiqués dans le courrier.
Le responsable de traitement doit justifier avoir informé le correspondant de sa décision.
Le remplacement ne peut devenir effectif que huit jours après la date de réception du
courrier d’information par la CNIL.

CONTRÔLE

La loi organise en outre un pouvoir spécifique de régulation du dispositif du correspondant
par la CNIL :
1. L’injonction de procéder aux formalités préalables
Lorsque le responsable de traitement ne respecte pas les obligations mises à sa charge
par la loi, la CNIL peut l’enjoindre de procéder aux formalités pour les traitements
dispensés.
Cette mesure, qui suspend le bénéficie de la dispense, pourra viser tout ou partie des
traitements précédemment dispensés du fait de sa désignation.
Elle ne met pas fin pour autant aux fonctions du correspondant, qui reste saisi de ses
autres missions.
2. La décharge du correspondant à la demande de la CNIL
Lorsqu’un manquement grave aux devoirs de ses missions est directement imputable au
correspondant, la CNIL, après avoir recueilli ses observations, peut demander au
responsable des traitements de le décharger de ses fonctions.
Cette décharge implique le remplacement du correspondant. A défaut, le responsable de
traitement devra déclarer l’ensemble des traitements exonérés.
3. L’avis de la CNIL en cas de demande de décharge du
correspondant présentée par le responsable des traitements
Lorsqu’il est mis un terme aux missions du correspondant en raison de manquements à
l’exécution de sa mission, le responsable des traitements doit saisir la CNIL pour avis.
Le correspondant doit en être informé en même temps, afin de pouvoir présenter ses
observations.
Les manquements invoqués doivent être directement imputables au correspondant et
relever directement de l’exercice de ses missions telles que définies dans la désignation
notifiée à la CNIL.
La CNIL fait alors connaître son avis dans le délai d’un mois, renouvelable une fois.
Ce n’est qu’une fois le correspondant mis en mesure d’exposer son point de vue et à
l’expiration du délai que la décision de décharger le correspondant peut être prise par
le responsable des traitements.
Dans tous les cas, pour continuer à bénéficier de la dispense de déclaration, le
responsable de traitement doit notifier à la CNIL les coordonnées et fonctions du nouveau
correspondant. A défaut, le responsable de traitement devra déclarer l’ensemble des
traitements exonérés.

 

III/Informatique, libertés et élection prud’hommales

Décret 23 juillet 2007: relatif au vote électronique pour les élections. Le salarié qui vote par ce moyen n'est plus admis à voter autrement...

Droits d'auteurs et Auteurs de droits © 2010 SCP LDH | All Rights Reserved

Design G. Wolfgang LDH : cabinet d'avocats à Lens et Béthune