LOI INFORMATIQUE & LIBERTES ET DROIT DU TRAVAIL La loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés a été modifiée par la Loi du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Cette dernière Loi avait pour objet : De transposer en droit interne les dispositions de la directive européenne de 1995 relative à la protection des données à caractère personnel D'adapter la Loi de 1978 aux évolutions technologiques Les principes posés sont : Les conditions de licéité des traitements des données à caractère personnel Les formalités préalables à effectuer auprès de la CNIL Les modalités de contrôle a postériori de la CNIL avec des pouvoirs renforcés. Cette Loi a bien entendu des implications très importantes en Droit du travail dans la mesure où certaines dispositions sont reprises dans le Code du travail. L'employeur doit être particulièrement vigilant sur le respect de ces dispositions légales contraignantes car leur violation est sanctionnée par des amendes allant jusqu'à 300.000 et des peines de prison comprises entre 3 et 5 ans. 11ter, rue Pétiniaud Beaupeyrat - 87000 LIMOGES Tel : 05.55.10.85.86 - Fax : 05.55.32.90.06 Parking clients :place de la Motte - place des Carmes SELARL au capital social de 10.000,00
La CNIL dispose désormais d'un pouvoir de contrôle très renforcé qui lui permet de présenter dans toute entreprise entre 06 h 00 du matin et 21 h 00, de se faire remettre toutes les données nécessaires à son contrôle, de prendre des mesures coercitives allant jusqu'à la suspension pendant 3 mois de l'utilisation d'un dispositif de traitement automatisé et une mise en demeure de se mettre en conformité. La CNIL dispose également d'un pouvoir de sanction par l'intermédiaire de sa Section du contentieux, à titre d'exemple, elle a récemment condamné un employeur à verser une amende de 10.000 pour refus de remettre à un salarié des données informatiques le concernant, en l'espèce il s'agissait d'un relevé de géo localisation de son véhicule de société. Le nombre de plaintes enregistrées par la CNIL est en constante augmentation pour atteindre 5738 plaintes en 2011, soit une progression de 42% par rapport à 2010 à mettre en relation directe avec l'extrême simplicité de la procédure de plainte qui se fait désormais en ligne. Pour l'ensemble des dispositifs automatisés de traitement des données (fichiers informatiques, relevés téléphoniques, vidéo-surveillance, surveillance des connections internet du salarié, accès à la boîte mail du salarié, biométrie, ) l'employeur doit toujours se poser la question de la conformité de son dispositif à la Loi Informatique & Libertés. Les principes directeurs les plus importants sont toujours : Le respect des règles de déclaration préalable des systèmes automatisés auprès de la CNIL. Une collecte loyale et licite pour une finalité explicite et légitime Des données retenues qui sont adéquates, pertinentes et non excessives au regard des finalités poursuivies. Une interdiction absolue de collecter et conserver des données relatives à l'origine raciale, aux opinions politiques, philosophiques ou religieuses, aux appartenances syndicales, à la santé, la vie sexuelle, les condamnations pénales. Une obligation d'informer les fichés de la finalité du fichier, de la personne responsable du traitement, de l'existence du droit d'accès, d'opposition et de rectification. Une obligation de respecter le droit du salarié de rectifier des données informatiques le concernant détenues par l'employeur.
Il faut distinguer tout au long de l'exécution du contrat de travail les différents modes de gestion automatisés de l'information auxquels sont applicables des règles différentes de déclaration préalable. Il faut également préciser que la désignation dans l'entreprise d'un Correspondant Informatique et Liberté dispense celle-ci des formalités de déclaration à la CNIL des dispositifs automatisés de traitement des données. La désignation du CIL ne dispense pas en revanche des demandes d'autorisations lorsque celles-ci sont obligatoires. A) - LA GESTION ADMINISTRATIVE CLASSIQUE DU PERSONNEL : de la dispense de déclaration et la déclaration simplifiée. La loi a clairement voulu distinguer les systèmes automatisés liés à la gestion courante du personnel qui sont, soit dispensés de déclaration, soit soumis à déclaration simplifiée. La gestion informatisée des payes est dispensée de déclaration préalable depuis un avis de la CNIL du 9 décembre 2004, cette dispense s'étend aux DADS, au suivi des travailleurs handicapés et au registre unique du personnel. Il en est de même pour les fichiers de gestion des activités sociales et culturelles des comités d'entreprises. Les salariés disposent néanmoins de leur droit d'accès et d'éventuelle rectification et la CNIL conserve son entier pouvoir de contrôle. Les fichiers de gestion administrative du personnel (gestion du dossier professionnel des employés, annuaires internes, élections professionnelles, gestion de la messagerie électronique professionnelle, gestion des plannings, gestion des carrières et de la mobilité, VAE, la réalisation d'états statistiques) soumis quant à eux à déclaration simplifiée. Il s'agit d'une déclaration de conformité à une norme simplifiée. Il faut, dans ce cas, que le traitement des données en question soit strictement conforme aux normes de la CNIL. On peut aussi y intégrer la gestion des contrôles d'accès aux locaux, des horaires de travail, à l'utilisation de services de téléphonie fixe et mobile ainsi que la géolocalisation.
B) - LE CONTROLE ET L'EVALUATION DU PERSONNEL : de la déclaration simplifiée à la demande d'autorisation. Tous les systèmes de contrôle et d'évaluation du personnel sont soumis à déclaration auprès de la CNIL. Il peut s'agir d'une simple déclaration de conformité à une norme définie par la CNIL mais il se peut également qu'une demande d'autorisation soit imposée pour les dispositifs présentant une forte potentialité d'atteinte à la vie privée. D'une manière générale, la Cour de cassation et la CNIL ont posé comme règle la loyauté de l'employeur à l'égard des salariés qui doivent connaître préalablement à leur mise en œuvre tous les moyens de contrôles de leur travail susceptibles de leur être opposés. C'est ainsi que l'enregistrement des communications téléphoniques, le comptage des communications téléphoniques par des factures détaillées, le contrôle des connexions internet, la vidéo surveillance, les systèmes de contrôle informatiques et la géolocalisation nécessitent une déclaration simplifiée lorsqu'ils sont conformes aux normes établies par la CNIL. Tout autre traitement automatisé dès lors qu'il n'est pas conforme aux normes élaborées par la CNIL nécessite une déclaration normale. La CNIL a décidé que la géolocalisation ne pouvait servir à décompter le temps de travail des salariés itinérants qui, par définition, sont autonomes dans la gestion de leur temps de travail. Quid de la compatibilité avec la nouvelle jurisprudence de la Cour de cassation imposant à l'employeur d'être en mesure de justifier du respect, par ses salariés, même autonomes, des amplitudes légales de travail? (Cass. sociale, 17 octobre 2012, pourvoi n 10-17.370 ; jurisdata n 2012-023295). La CNIL a posé des règles très précises en matière d'accès de l'employeur aux données informatiques figurant sur l'ordinateur d'un salarié. L'ensemble des données figurant sur l'ordinateur mis à la disposition du salarié par l'employeur est présumé avoir un caractère professionnel y compris les échanges de mails. Néanmoins, le salarié est protégé par le principe du secret des correspondances émises par la voie des télécommunications dont la violation tombe sous le coup des articles 226-15 et 432-9 du Code pénal. Le salarié peut donc échapper à cette présomption en identifiant clairement des mails et des fichiers informatiques comme étant " personnels ".
Dans cette hypothèse, l'employeur ne peut avoir accès aux données personnelles soumises à la protection de la vie privée et du secret de la correspondance. ATTENTION, la Cour de cassation autorise l'employeur à solliciter auprès du Président du TGI une Ordonnance l'autorisant à avoir accès à des fichiers personnels en cas de motif légitime de suspecter des actes de concurrence déloyale. (Cass. Sociale, 23 mai 2007, n 05-17.818, n 1146, Sté DATA CEP c/ HANSART). L employeur peut bien entendu restreindre l accès de ses salariés à certains sites Internet ; il peut le faire par un dispositif automatisé ou en le prévoyant dans le règlement intérieur ou une charte informatique. Il faut veiller à ce que ces documents soient opposables aux salariés, par exemple par le biais d une mention dans le contrat de travail aux termes de laquelle le salarié déclare avoir pris connaissance des prescriptions internes en la matière. La connexion à des sites pornographiques pendant le temps du travail n est plus systématiquement considéré comme une faute grave, l employeur devant être en mesure d apporter la preuve du préjudice subi dans l organisation même du travail surtout si les connexions étaient réalisées en dehors du temps de travail. Tous les dispositifs biométriques nécessitent, de par leur spécificité, soit une simple déclaration de conformité (contour de la main, empreintes digitales sur un support individuel détenu par la personne, contour de la main pour un accès à un restaurant scolaire, du réseau veineux des doigts), soit une demande d'autorisation auprès de la CNIL (relevé d empreintes digitales par exemple). La CNIL, par un avis du 23 octobre 2012, a apporté une restriction à son Autorisation Unique relative au système biométrique en indiquant que celle-ci ne porte plus sur les dispositifs de contrôle horaire des salariés qui nécessitent donc une demande d autorisation préalable à leur mise en œuvre. La CNIL exerce un contrôle très sévère sur l opportunité et la proportionnalité de ce type de dispositif au regard de l activité de l entreprise. Attention, la mise en place de ce type de dispositifs doit être précédée d'une information et d'une consultation préalable du CE sous peine de poursuite pour délit d'entrave. Les dispositifs ne doivent jamais porter atteinte d'une quelconque manière à la liberté de déplacement et d'expression des représentants du personnel. La sanction de la non-déclaration préalable d un dispositif, outre les sanctions prévues par la loi Informatique et Libertés, est l irrecevabilité de la preuve en Justice.
La CNIL définit régulièrement la durée de conservation des données obtenues par l'intermédiaire des dispositifs de traitement automatisés: Données obtenues dans le cadre d'une procédure de recrutement : 2 ans Dispositifs de contrôle informatique du travail : 6 mois Vidéos sur le lieu de travail : 1 mois Enregistrement des conversations téléphoniques : 6 mois Néanmoins, il est admis, y compris par la CNIL, que ces données soient conservées le temps nécessaire à la préservation des droits de l employeur, en Droit du travail, le délai légal de prescription est de 5 années.