Fascicules et modèles rédigés par des avocats spécialisés.

Informations salariés et Traitement de données

Le droit des nouvelles technologies de l’information et de la communication (NTIC), sont les outils issus des nouvelles technologies de l’information et de la communication (internet, téléphone mobile, ordinateur, logiciels …).

Leur entrée dans l’entreprise a forcé la mise en place de règles dans le but d’éviter tout abus de ces nouveaux moyens mis à dispositions des salariés et des dirigeants des entreprises. La commission nationale informatique et libertés (CNIL) permet de garantir la protection des données à caractère personnel ainsi que le respect de la vie privée des salariés.

Le décret du 1er août 2018 n°2018-687 pris pour l’application de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles, en vigueur depuis le 4 août 2018, comporte plusieurs mesures d’application.

Parmi ces mesures on peut évoquer les conditions dans lesquelles la CNIL ou l’organisme national d’accréditation, accepte les organismes certificateurs conformément au RGPD et au décret n°2005-1309 du 20 octobre 2005.

 

Les traitements de données des salariés

Les conditions et les garanties selon lesquelles il peut être dérogé au droit d’accès de la personne concernée, au droit de rectification, au droit à la limitation des traitements et au droit d’opposition en matière de traitements à des fins de recherche scientifique ou historique ou à des fins statistique -(Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016).

Ainsi, sont notamment concernés :

Les traitements comportant des données à caractère personnel susceptibles de permettre, directement ou indirectement, d’identifier des personnes dont l’anonymat est protégé.

Les traitements de données de gestion administrative, financière et opérationnelle ainsi que les traitements de données de santé pour lesquels la notification d’une divulgation ou d’un accès non autorisé est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique au regard du volume des données concernées par la violation et des informations relatives à la vie privée qu’elles comportent telles que l’adresse ou la composition de la famille. etc.

 

Le Règlement Général sur la Protection des Données (RGPD) oblige toute entité traitant des données personnelles à mettre en application des actions et des procédures permettant de garantir le respect des règles relatives à la protection des données.

Le RGPD est destiné au traitement de données personnelles et à la protection de la vie privée des personnes concernées. Une donnée personnelle est une information se rapportant à une personne physique ou identifiable -(nom, adresse IP, données de santé, revenus, centres d’intérêts, date de naissance, situation familiale, etc.). Toute manipulation d’une donnée est considérée comme un traitement.

Le RGPD oblige la tenue d’un registre des traitements de données conduisant à recenser les fichiers et de visionner l’ensemble des activités principales de l’entreprise nécessitant la collecte de traitement de données.

 

Création d’un droit d’accès

Le droit d’accès permet de connaître les données qu’un organisme détient sur un individu, d’en contrôler l’exactitude, de les rectifier, de les limiter ou de les effacer. L’organisme doit être en mesure de vous renseigner sur les catégories de données collectées, la durée de conservation des données, les catégories de destinataires qui ont accès à ces données, l’hypothétique transfert des données vers un pays non membre de l’Union Européenne, les finalités d’utilisation des données, les informations relatives à la source des données collectées lorsque celles-ci n’ont pas été récoltées auprès de la personne concernée,  l’existence d’une prise de décision automatisée et les conséquences d’une telle décision, la possibilité de saisir la CNIL. etc.

Le droit d’accès ne doit pas porter atteinte à la propriété intellectuelle, au secret des affaires au droit ainsi qu’au droit des tiers.

 

Les outils informatiques sur le lieu de travail

:

L’employeur peut contrôler et limiter l’utilisation des outils informatiques. Il peut également contrôler et limiter l’utilisation d’Internet et de la messagerie notamment avec des outils de mesure de la fréquence des envois de messages, de filtres anti-spam, de dispositifs de filtrage de sites, de détection de virus etc.

L’objectif est de limiter les abus et notamment à titre personnel (réseaux sociaux, achats de produits …) et d’assurer la protection des réseaux .

A noter qu’il existe des limites au contrôle de l’employeur, cela concerne les dispositifs d’espionnage des actions effectuées sur un ordinateur. Les loggings ne peuvent être conservés plus de 6 mois et l’employeur ne peut recevoir de copies automatiques des messages écrits et/ou reçus par les employés.

L’accès à internet durant le temps de travail est censé être à titre professionnel, l’employeur peut alors librement le contrôler – (Cass. soc. 9 juillet 2008 n°06-45.800).

La messagerie électronique mise à disposition des salariés n’est pas considérée comme personnel. Pour que les messages électroniques soient protégés, ils doivent avoir comme objet la mention « privé » ou « personnel ». L’employeur ne peut pas les consulter sans la présence de l’intéresser – (art 226-15 du Code pénal)

Les mots de passe  ou les identifiants des outils, des messageries, sessions … sont confidentiels et ne doivent pas être transmis à un tiers.

Les fichiers à caractères professionnels se trouvant dans les outils informatiques mis à disposition des salariés sont librement consultables par l’employeur.

L’utilisation abusive du matériel informatique à titre personnel peut justifier une sanction pouvant aller jusqu’au licenciement.

Les sites consultés, l’envoie ou la conservation de photos ou vidéos à caractère pornographique présentant un caractère condamnable, le téléchargement illégal ou les messages envoyés contenant des propos antisémites constitue une faute du salarié – (Cass. soc., 2 juin 2004 n°03-45.269 – Cass. soc., 15 décembre 2010 n°09-42.691).

Les moyens de contrôle utilisé par l’employeur ne doivent pas porter atteinte au droit et à la liberté du salarié. En revanche les salariés doivent être informés des moyens de contrôle utilisés par l’employeur.

Fondements

Les Juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, telles que séquestre, saisies et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé – (Art. 9 du Code civil -protection de l’intimité de la vie privée).

Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché – (L.1121-1 du Code du travail).

Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance – (L.1222-4 du Code du travail).

 

Fascicule mis à jour le 21 octobre 2019.

Tous droits réservés.

-

Maitre Data