Messages les plus consultés

lundi 26 décembre 2011

La charte informatique face à l’évolution des technologies : l'outil indispensable pour définir les règles du jeu

L’entreprise, qui met à la disposition de ses salariés un ordinateur, les logiciels associés, une adresse email et éventuellement permet l’accès à internet, doit sensibiliser ses collaborateurs aux règles d’utilisation de ces outils et ressources de travail.

La charte informatique (ou charte internet), bien que non obligatoire, devient ainsi un document indispensable dans l’entreprise, pour une bonne gouvernance des règles d’utilisation des ressources technologiques. La charte informatique permet non seulement de définir les “règles du jeu” en terme d’utilisation des équipements et logiciels mis à la disposition des salariés, mais également de définir les règles de communication par voie électronique (emails, réseaux sociaux) dans et sur l’entreprise.(1)

Avant le déploiement d’une charte informatique, une réflexion de fond sur son périmètre d’application doit être menée afin de déterminer au mieux les droits et obligations des collaborateurs. La charte, rédigée dans les règles et dûment intégrée au règlement intérieur de l’entreprise, est reconnue comme étant opposable aux utilisateurs.


1. Le périmètre d’application de la charte informatique

    1.1 Les préalables à sa mise en place

Avant tout déploiement d’une charte informatique dans l’entreprise, une réflexion à 360° doit être menée sur les besoins des collaborateurs en termes de ressources informatiques au sens large (matériels, logiciels, usages, communication interne et externe, accès à internet, etc.). En effet, ces besoins ne sont pas les mêmes pour toutes les entreprises, ni au sein d’une entreprise, pour toutes les catégories de collaborateurs, selon leurs fonctions ou leur mobilité dans l’exercice de leur activité.

Il y a quelques années, la charte informatique se résumait à définir globalement les utilisations autorisées des matériels informatiques et logiciels mis à la disposition des collaborateurs, ainsi que quelques règles relatives à l’utilisation d’internet pendant les heures et sur le lieu de travail. Il est désormais nécessaire d’aller plus loin dans la réflexion afin de prendre en compte les équipements personnels des collaborateurs, la gestion des accès à distance, ou l’utilisation des outils collaboratifs.

Enfin, au terme de cette réflexion préalable, il conviendra de décider s’il est préférable de consigner ces règles d’utilisation dans un seul document (charte informatique), ou dans plusieurs documents suivant les domaines d’application (charte informatique, charte internet, voire charte de la communication).

    1.2 Les règles à prendre en compte pour la rédaction de la charte

Un certain nombre de principes généraux doivent être pris en considération dans la définition des règles générales applicables à la charte informatique : respect de la vie privée et liberté d’expression, deux libertés fondamentales qui ne disparaissent pas au moment où le salarié passe la porte de l’entreprise.

Le principe du respect de l’intimité de la vie privée
L’application de ce principe est régulièrement rappelée par les juges de la Cour de cassation, et son étendue précisée par leur jurisprudence au regard des évolutions de l’utilisation des technologies dans l’entreprise.

Ce principe vient d’être rappelé encore récemment par les juges dans une affaire d’accès par l’employeur aux emails d’un salarié. Un salarié avait été licencié, au motif notamment, qu’il détenait des messages à caractère pornographique dans sa messagerie professionnelle. Le salarié avait contesté le motif de son licenciement devant les tribunaux. La Cour d’appel de Rennes lui avait donné droit. Dans un arrêt du 5 juillet 2011, la Cour de cassation a confirmé l’arrêt d’appel en énonçant que “le salarié a droit, même au temps et lieu du travail, au respect de l’intimité de sa vie privée ; que si l’employeur peut toujours consulter les fichiers qui n’ont pas été identifiés comme personnels par le salarié, il ne peut les utiliser pour le sanctionner s’ils s’avèrent relever de sa vie privée (…).”(2)

Le principe de la liberté d’expression
Le principe de la liberté d’expression s’applique même au sein de l’entreprise.(3) Ce principe connaît cependant des limites, par exemple en cas de violation de la confidentialité des informations échangées, de mise en ligne de messages diffamatoires ou injurieux, ou de nature à porter une atteinte grave à l’image de la société.(4)

Il est donc recommandé de préciser dans la charte, les règles de communication institutionnelle de l’entreprise, mais également les règles applicables à l’utilisation des réseaux sociaux externes, tels Facebook ou Twitter, ou des blogs, ainsi que les règles d’utilisation du RSE, si un tel outil existe dans l’entreprise. Ainsi, la détermination de lignes de conduite permettant de distinguer entre communication de nature professionnelle et communication privée (ou non professionnelle) sera utile pour aider les collaborateurs à identifier les limites entre sphère professionnelle et non professionnelle.

A ce titre, il est intéressant de se référer aux guides des bonnes pratiques sur les réseaux sociaux mis en place dans le journalisme. L’une des questions posées était de déterminer notamment si les commentaires des journalistes sur les réseaux sociaux étaient postés à titre professionnel (et engageaient donc leur rédaction), ou à titre privé (et n’engageaient donc que l’auteur du message). Même si nous ne sommes pas tous des journalistes professionnels, toute personne qui publie un contenu en ligne est un “journaliste en herbe” et éditeur - et responsable - de son message.(5)

    1.3 Le contenu de la charte : équipements et logiciels autorisés, règles de communication

Globalement, toute charte informatique doit couvrir les points suivants : politiques de l’entreprise en matière d’équipements, en matière de logiciels à utiliser, et en matière de communication.

Les équipements
Quels équipements les collaborateurs sont-ils autorisés à utiliser dans le cadre de leur activité professionnelle ? Auparavant, la question était de déterminer dans quelle mesure les collaborateurs pouvaient utiliser les équipement fournis par l’entreprise (pc, téléphone portable) à des fins personnelles. Dorénavant, la question doit également porter sur l’utilisation des équipements personnels à des fins professionnelles.

Cette question est d’autant plus importante que dans certains domaines d’activité, la distinction vie professionnelle / vie privée tend à s’estomper quelque peu, de plus en plus de salariés utilisant leurs propres équipements (pc, smartphones, tablettes internet) pour travailler, pour se connecter à distance aux serveurs de l’entreprise, à l’intranet, à la messagerie dans le cadre de leur activité professionnelle.

La charte pourra donc préciser que seuls les équipements fournis par l’entreprise pourront être utilisés dans le cadre de l’activité professionnelle, à l’exclusion de tous autres, ou que certains équipements personnels pourront être utilisés. Dans cette seconde hypothèse, il conviendra de prendre en compte les aspects liés à la sécurité des accès, à la confidentialité des données de l’entreprise, aux problèmes liés à la maintenance de ces équipements, aux demandes des collaborateurs concernés relatives à l’indemnisation des abonnements, etc.

Les logiciels
Il conviendra de déterminer la liste des logiciels que les collaborateurs sont autorisés à utiliser dans le cadre de leurs activités professionnelles, ou d’interdire l’utilisation de tous logiciels non fournis par la DSI de l’entreprise. Ce point est très important, afin de limiter les téléchargements de logiciels non testés et approuvés par la DSI, ainsi que les logiciels potentiellement contrefaisants, et les logiciels de téléchargement peer-to-peer ou de streaming.(6)

Les règles de communication
Enfin, la charte technologique devra aborder la problématique de la communication et l’utilisation des différents outils de communication : email, sms, tchat, réseaux sociaux. Quant aux règles d’utilisation d’internet, il paraît difficile aujourd’hui de bloquer toute utilisation d’internet par les collaborateurs. Cependant, il reste possible de bloquer l’accès à certains sites ou catégories de sites web, ou d’émettre des règles sur les sites autorisés, les sites tolérés, et les sites interdits.

Les règles de contrôle et d’accès aux informations de connexion et aux emails pourront utilement être rappelées.


2. La valeur normative de la charte informatique au sein de l’entreprise

La finalité de la charte informatique est double : i) informer les salariés sur les règles d’utilisation des équipements et logiciels mis à leur disposition et les sensibiliser sur les règles de communication professionnelle, et ii) les informer sur les sanctions éventuelles en cas de non-respect de ces règles.

Plus qu’un simple document informatif, la charte informatique est désormais bel et bien reconnue comme opposable aux salariés.

    2.1 Un document opposable aux utilisateurs, mais à quelles conditions ?

La valeur normative, et donc le caractère opposable de la charte informatique, a été consacrée par la Cour de cassation dans un arrêt du 15 décembre 2010. En l’espèce, un collaborateur de la société Coca Cola avait été licencié pour faute grave suite à la découverte par l’employeur de documents à caractère pornographique, conservés sur le disque dur de l’ordinateur professionnel du collaborateur. La Cour a relevé que cette pratique avait constitué “un manquement délibéré et répété du salarié à l’interdiction posée par la charte informatique mise en place dans l’entreprise et intégrée au règlement intérieur, (…) que ces agissements, (…) étaient constitutifs d’une faute grave et justifiaient le licenciement immédiat de l’intéressé ; (…).”(7)

En revanche, il est très probable qu’en l’absence de charte informatique définissant les règles d’utilisation des ressources technologiques de l’entreprise, l’employeur n’aurait pu licencier le salarié pour ce motif. Ainsi, dans un arrêt de décembre 2009, la Cour de cassation a cassé une décision d’appel qui avait validé le licenciement d’un salarié pour des faits similaires (détention de fichiers à caractère pornographique sur l’ordinateur professionnel). En l’espèce, la société n’avait déployé que des notes de service.

Ainsi, la Cour a retenu que “(…) l’arrêt (d’appel) énonce que les fichiers contenant des photos à caractère pornographique qui portaient atteinte à la dignité humaine, enregistrés et conservés dans son ordinateur dans un fichier archive accessible par tout utilisateur, établissent le détournement par le salarié du matériel mis à sa disposition en violation des notes de service (…) ; Qu’en statuant ainsi, (…) la cour d’appel a violé le texte susvisé.”(8)

Ainsi, pour que la charte informatique soit pleinement opposable aux utilisateurs, et donc suivie d’effet (application de sanctions éventuelles en cas de non-respect des règles qui y sont définies),  la charte doit être annexée au règlement intérieur de la société et déposée auprès des services de l’Inspection du travail et du greffe du Conseil des prud’hommes du siège social de la société. De simples notes de service risquent d’être jugées insuffisantes, au-delà de la simple information, pour être pleinement opposables aux utilisateurs.

    2.2 Un document opposable, mais à quels utilisateurs ?

Si la charte informatique est intégrée au règlement intérieur, elle devra non seulement être appliquée par les salariés de l’entreprise, mais également par les intervenants tiers pendant la durée de leur mission dans l’entreprise.

Le règlement intérieur, obligatoire dans les entreprises de plus de vingt salariés, fixe les règles en matière d’hygiène et de sécurité dans l’entreprise, et en matière de discipline (article L.1321-1 et s. C. du trav.). Ce document s’applique, en premier lieu, aux salariés de l’entreprise.

Le règlement intérieur est également appelé à s’appliquer aux tiers pendant la durée de leur mission dans les locaux de l’entreprise. En effet, les personnels intérimaires, les consultants indépendants et autres sous-traitants doivent respecter le règlement intérieur de l’entreprise-cliente, pour autant que ces interventions soient réalisées dans les locaux de cette entreprise.

En cas de non-respect du règlement intérieur par ces personnes (par exemple, oeuvres téléchargées illégalement par l’intervenant et sauvegardées sur les serveurs de l’entreprise, communication sur les réseaux sociaux avec divulgation non-autorisée d’informations confidentielles), l’entreprise pourra demander le remplacement de l’intervenant concerné, voire la résiliation du contrat de prestation, aux torts de la société prestataire.

En tout état de cause, le règlement intérieur et la charte informatique devront être affichés et diffusés au sein de l’entreprise.


L’évolution des technologies et des comportements de communication doivent susciter, dans l’entreprise, une réflexion régulière sur l’évolution des besoins des utilisateurs (par exemple : évolution des équipements - smartphones, tablettes internet ; évolution des modes de communication et des outils de collaboration en ligne tels le déploiement d’un RSE, l’utilisation du e-learning ou du serious gaming (formation en ligne), et sur les besoins réels de l’entreprise pour rester compétitive et attractive, sans pour autant mettre en danger la sécurité et la confidentialité des données ; le défi des RSI et des RH étant de s’appuyer sur une charte informatique claire et exhaustive, qui ne sera pas obsolète dans quelques mois…


* * * * * * * * * *

(1) Nous avions écrit un précédent article sur ce thème en septembre 2008 intitulé : La charte technologique : pour la protection des réseaux et des données de l’entreprise (http://www.journaldunet.com/solutions/expert/31256/la-charte-technologique---pour-la-protection-des-reseaux-et-des-donnees-de-l-entreprise.shtml). L’objet du présent article est d’approfondir la réflexion sur le déploiement des chartes informatiques face à l’évolution des technologies et des modes de communication dans l’entreprise.
(2) C Cass. soc. 5 juillet 2011, Gan Assurances Iard c/ M. X.
(3) Article L.1121-1 du Code du travail : “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.”
(4) Voir Conseil des prud’hommes de Boulogne-Billancourt, jugements de départage du 19 novembre 2010, M. B. c/ Alten Sir et Mme B. c/ Alten Sir, ayant confirmé la décision de licenciement de salariés ayant dénigré leur employeur et leur supérieur hiérarchique sur Facebook. Dans ces deux affaires, il a été jugé que les salariés avaient abusé du droit d’expression consacré à l’article L.1121-1 du Code du travail.
(5) Voir notamment la Charte d’éthique professionnelle des journalistes du Syndicat national des journalistes, le Guide de participation des journalistes AFP aux réseaux sociaux et le Guide des bonnes pratiques aux réseaux sociaux de France Télévisions
(6) Il conviendra notamment de sensibiliser les collaborateurs aux téléchargements illégaux et aux dispositions des lois Création et Internet ou lois Hadopi (Loi n°2009-669 du 12 juin 2009 favorisant la diffusion et la protection de la création sur internet ; et loi n°2009-1311 du 28 oct. 2009 relative à la protection pénale de la propriété intellectuelle et artistique sur internet)
(7) C Cass. soc. 15 décembre 2010, Emmanuel G. c/ Coca-Cola, Assedic
(8) C Cass. soc. 8 décembre 2009, Sergio G. c/ Peugeot Citroën Automobiles



Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2011

article publié sur le Journal du Net le 27 décembre 2011

lundi 12 décembre 2011

Réseaux sociaux d’entreprise et gestion des risques juridiques

Les habitudes de communication évoluent aussi rapidement que les outils de communication. Le monde de l’entreprise ne peut rester imperméable à ces nouveaux outils et usages. Ainsi, la mode des réseaux sociaux se décline désormais comme outil de travail collaboratif au sein de l’entreprise.

Les réseaux sociaux d’entreprise (RSE) peuvent intégrer des fonctionnalités diverses, depuis le classique profil de l’utilisateur, en passant par l’annuaire des collaborateurs, l’accès à des contenus divers. Le RSE peut également intégrer des fonctionnalités de collaboration active telles la consultation, l’édition et la modification de documents.

Cependant, la procédure de déploiement d’un RSE, puis la gestion du réseau dans le temps, ne doivent pas négliger la prise en compte du volet juridique. Nous faisons le point ci-après sur les obligations légales ainsi que sur la gestion des risques juridiques du RSE avant le déploiement du  service, puis au cours de son exploitation dans l’entreprise. 


1. Le déploiement d’un RSE : les règles de fonctionnement et le traitement des données personnelles


Comme pour tout projet, il est important de définir l’objet du RSE et ses règles de fonctionnement,  sans oublier a prise en compte des obligations légales, et ce préalablement à la mise en ligne de l’outil.

    1.1 L’objet du RSE et les règles d’utilisation du service

Préalablement au lancement du service, il est important d’en délimiter le périmètre d’utilisation. L’objet du RSE sera en principe déjà défini dans le cahier des charges. Cet objet sera repris au moment de la rédaction des conditions d’utilisation du RSE.

Les conditions d’utilisation indiqueront notamment les règles d’utilisation de l’outil et ses limites. Il est important de s’assurer que chaque collaborateur de l’entreprise accepte effectivement les conditions d’utilisation de l’outil lors de sa première connexion au service, ainsi qu’à chaque modification ultérieure des conditions d’utilisation. En effet, en cas d’absence de procédure d’acceptation effective des conditions d’utilisation, celles-ci pourront être considérées comme non opposables au collaborateur en cas de litige entre celui-ci et l’entreprise par exemple.

Ces conditions d’utilisation peuvent par ailleurs être mentionnées dans la charte informatique de l’entreprise, avec un renvoi vers le service et la page web correspondante. La charte informatique permettra ici de décrire l’objet du RSE et ses conditions d’utilisation et ses conditions d’accès, notamment le fait que le RSE est limité à une utilisation professionnelle, et pour les activités de l’entreprise et qu’il n’est pas prévu pour les échanges privés.

    1.2 L’objet du RSE et le traitement des données à caractère personnel

Dans la mesure où la mise en oeuvre d’un réseau social, fut-il interne à l’entreprise, implique la collecte de données à caractère personnel des collaborateurs inscrits au service, l’entreprise devra s’assurer que le traitement envisagé est conforme aux dispositions de la loi Informatique et Libertés et entre dans le cadre des conditions prévues à la norme simplifiée n°46 “Gestion du personnel”.(1)

Cette déclaration de conformité “Gestion du personnel” a pour finalité non seulement la gestion administrative du personnel de l’entreprise (dossier professionnel du salarié, annuaire des salariés), la gestion de carrière (évaluations professionnelles, etc.), mais également la mise à disposition d’outils informatiques, tels la mise à disposition des salariés de matériels informatiques, l’accès à la messagerie électronique, ou à l’intranet.

L’entreprise aura en principe fait une déclaration en application de cette norme lors du lancement de son activité pour les premières embauches de personnel. Si les règles de fonctionnement et de gestion du RSE entrent dans le cadre des conditions définies à la norme simplifiée Gestion du personnel (finalité du traitement, données collectées, destinataires des données, lieu de stockage des données, durée de conservation), il ne sera pas nécessaire de procéder à une nouvelle déclaration. En revanche, si les conditions de fonctionnement du RSE impliquent une modification des conditions de traitement des données des collaborateurs, une nouvelle déclaration (une mise  à jour ou une modification de la première déclaration) devra être faite auprès des services de la CNIL.

    1.3 La consultation du Comité d’entreprise

Les entreprises ayant le projet de déployer un RSE compteront généralement plus de 50 salariés et disposeront donc d’un comité d’entreprise. Dès lors, en application des dispositions de l’article L.2323-13 du Code du travail, le comité d’entreprise doit être informé et consulté préalablement à tout projet important d’introduction de nouvelles technologies, les éléments d’information devant être communiqués un mois avant la réunion.(2) Suivant l’objet du RSE, notamment si le service est appelé à être utilisé à grande échelle dans l’entreprise comme outil de travail collaboratif, la consultation du CE pourra ainsi être nécessaire.


2. La gestion du RSE dans le temps : quelques précautions pour éviter les problèmes juridiques

Une fois que le réseau social de l’entreprise est déployé, il conviendra de s’assurer que l’exploitation du service est gérée en appliquant quelques règles permettant d’éviter les problèmes d’ordre juridique. On retiendra notamment les règles suivantes :

    2.1 Les utilisateurs et la gestion des droits d’accès

Certains réseaux sociaux d’entreprise sont strictement limités aux salariés de l’entreprise, alors que d’autres réseaux sont ouverts à des tiers.

Selon que l’entreprise opte pour le modèle fermé ou le modèle ouvert, il est très important de gérer les accès de manière stricte et structurée. Les droits d’utilisation et d’accès aux différentes catégories de contenus et services devront être paramétrés en fonction du statut des utilisateurs.

Dans un RSE “fermé”, limité aux collaborateurs de l’entreprise, il conviendra de définir ce que l’on entend par collaborateur autorisé à utiliser le RSE: le service est-il autorisé pour tous les salariés de l’entreprise, ou seulement pour certaines catégories de salariés (personnels impliqués dans la conduite de projet par exemple, ou personnels mobiles) ? Le service est-il autorisé pour les collaborateurs nouvellement arrivés dans l’entreprise, pour les personnels en CDD ?

Dans un RSE “ouvert” à des tiers à l’entreprise, il sera indispensable de définir les catégories de tiers autorisés à accéder et à utiliser le RSE (ou une seule partie de ses fonctionnalités) : les intérimaires, les consultants indépendants, les sous-traitants.

    2.2 Les données de l’entreprise et la confidentialité

L’une des principales différences entre un réseau social “classique” (de type Facebook) et un réseau social d’entreprise tient non seulement au statut des utilisateurs autorisés à utiliser le service, mais également à la confidentialité des informations échangées entre les utilisateurs.

Toutes les informations échangées sur le RSE ne sont évidemment pas confidentielles. Cependant, les échanges internes relatifs à des clients de l’entreprise, ou à des projets en cours (négociations, projets en cours de développement ou de déploiement par exemple), ou encore à des projets internes (recherche), à des informations financières, etc. sont généralement de nature confidentielle. D’où l’importance de gérer les accès et les autorisations d’utilisation pour éviter les fuites d’informations et risquer de mettre en jeu la responsabilité de l’entreprise pour violation de son obligation de confidentialité vis-à-vis de ses clients notamment.

Il est par ailleurs recommandé de distinguer entre l’objet du RSE et ses modes d’utilisation et les situations dans lesquelles les échanges 1/1 verbaux, par email ou autres doivent être maintenus. Même si le RSE intègre une fonctionnalité de tchat ou de messagerie, ce service n’a pas pour objet de remplacer les échanges “traditionnels”, au moins dans l’immédiat.

    2.3 La liberté d’expression et ses limites


Comme pour tout service collaboratif en ligne, les informations mises en ligne sur un RSE sont soumises aux règles de la responsabilité éditoriale. Dans la mesure où les informations mises en ligne et les échanges entre utilisateurs n’ont pas vocation à être modérés/validés par l’entreprise avant leur mise en ligne, chaque utilisateur est responsable du contenu des messages (messages, photos, documents) qu’il/elle met en ligne et des informations divulguées.

Le principe de la liberté d’expression s’applique, même au sein de l’entreprise, comme rappelé à l’article L.1121-1 du Code du travail.(3) Cependant, ce principe connaît des limites, par exemple en cas de violation de la confidentialité des informations échangées, de mise en ligne de messages diffamatoires ou injurieux, ou de nature à porter une atteinte grave à l’image de la société.

A ce titre, deux jugements du Conseil des prud’hommes de Boulogne-Billancourt, rendus le 19 novembre 2010 ont confirmé la décision de licenciement de salariés ayant dénigré leur employeur et leur supérieur hiérarchique sur Facebook. Les juges ont retenu que les échanges n’étaient pas d’ordre privé car ils étaient visibles par les “amis des amis” sur Facebook et non par les seules personnes impliquées activement dans ces échanges. Dans ces deux affaires, il a été jugé que les salariés avaient abusé du droit d’expression consacré à l’article L.1121-1 du Code du travail.(4)

Même si en l’espèce il s’agissait d’échanges sur un réseau social public, on peut penser que des propos insultants échangés sur un réseau social d’entreprise et accessibles à un large groupe de collaborateurs pourraient entraîner l’application de sanctions à l’égard du/des auteur(s) : suspension des droits d’accès au service et, le cas échéant, compte tenu de la gravité de la situation, mise en oeuvre d’une procédure disciplinaire, en conformité avec les règles de droit du travail. Il est recommandé de prévoir, dans les conditions d’utilisation, les règles de suspension d’accès au service en cas de violation desdites conditions d’utilisation.

    2.4 La durée de conservation des profils

Dans le cadre de l’administration des autorisations d’accès au service, il conviendra de gérer attentivement la cessation des droits d’utilisation et la durée de conservation des profils.

Concernant la cessation des droits d’utilisation, les règles de désactivation des codes d’accès au RSE devront correspondre à l’objet du service. Si le RSE est limité à l’activité de conduite de projet par exemple, les profils des utilisateurs seront désactivés à l’issue du projet, mais également, lors du départ d’un des collaborateurs de la société en cours de projet, ou lors du départ d’un consultant ou d’un sous-traitant. Si le RSE a un objet plus large, d’outil de communication au sein de l’entreprise, les profils seront désactivés au départ du collaborateur de l’entreprise.

Enfin, les données relatives aux profils des utilisateurs devront en principe être effacées dès la clôture du compte.


* * * * * * * * * * *


(1) La norme simplifiée n°46 “Gestion du personnel” est accessible sur le site de la CNIL, rubrique vos responsabilités > déclarer un fichier.
(2) L’article L.2323-13 du Code du travail dispose que “Le comité d’entreprise est informé et consulté, préalablement à tout projet important d'introduction de nouvelles technologies, lorsque celles-ci sont susceptibles d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions de travail.
Les membres du comité reçoivent, un mois avant la réunion, des éléments d'information sur ces projets et leurs conséquences sur chacun des sujets mentionnés au premier alinéa.”
(3) L’art L.1121-1 du Code du travail dispose que : “Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.”
(4) Conseil des prud’hommes de Boulogne-Billancourt, jugements de départage du 19 novembre 2010, M. B. c/ Alten Sir et Mme B. c/ Alten Sir


Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2011

Article publié sur Le Journal du Net le 12 décembre 2011

samedi 3 décembre 2011

Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi

Tout organisme privé (entreprise, association) ou public, quels que soient son domaine d’activité et sa taille, est amené à collecter et à traiter des données à caractère personnel concernant ses employés, clients ou administrés pour des traitements très divers, allant de la prospection commerciale, aux fichiers d'état civil et des électeurs, les fichiers des ressources humaines (personnel, candidats et CV), et les systèmes de contrôle d'accès, de vidéosurveillance ou de géolocalisation. La collecte et le traitement de ces données doivent respecter les dispositions de la loi Informatique et Libertés.

La multiplicité des traitements, alliée à la complexité de certains types de traitements et aux risques d'atteintes au respect de la vie privée, ont conduit le législateur à créer le Correspondant Informatique et Libertés.(1) Ce professionnel, qui peut être interne ou externe à l’entreprise ou l’administration concernée est un partenaire précieux pour tout organisme procédant à des traitements de données personnelles nombreux et/ou complexes.

Nous rappelons ci-après les obligations légales incombant aux organismes mettant en oeuvre des traitements de données à caractère personnel, puis analysons le rôle et les avantages liés à la désignation d’un Correspondant Informatique et Libertés.

1 - Rappel des obligations légales incombant aux organismes procédant à des traitements de données personnelles


Les obligations prévues par la loi  -  La collecte et le traitement des données personnelles doivent respecter les principes définis par la loi Informatique et Libertés. La loi vise tous types d'opérations portant sur des données qui permettent d'identifier directement ou indirectement une personne physique et notamment, le fait de collecter, enregistrer, conserver, modifier, diffuser ou détruire des données personnelles.

De nombreuses obligations pèsent sur le responsable des traitements, notamment : (i) déclarer, au préalable, à la CNIL tout traitement ou fichier automatisé de données (déclarations ou demandes d'autorisation et d'avis selon les données concernées et les traitements envisagés), (ii) faire une collecte loyale et licite des données, (iii) respecter la finalité du traitement, (iv) assurer l’intégrité des données en adoptant des mesures de sécurité et (v) permettre aux personnes concernées par le traitement de leurs données, de faire valoir leurs droits (droits d'accès, de contestation, de rectification et d’opposition). En principe, le responsable du traitement est le dirigeant de l'entreprise ou le chef de service de l'organisme public en charge des traitements de données.

Les pouvoirs de contrôle et de sanction de la CNIL - La CNIL dispose de pouvoirs de contrôle et de sanction à l'encontre des responsables de traitements. Des contrôles sur place (dans les locaux de l’entreprise) peuvent être réalisés, au cours desquels les agents de la CNIL (pouvant être accompagnés d’agents de la DGCCRF et/ou de l'ARJEL) peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi.

Lorsque des manquements à la loi sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d'un montant maximum de 300.000€, une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée.

Les sanctions pénales  -  La CNIL peut décider de dénoncer au Procureur de la République les infractions à la loi. Le fait de procéder, y compris par négligence, à des traitements de données personnelles non conformes à la loi Informatique et Libertés est pénalement sanctionné : 5 ans d’emprisonnement et 300.000€ d’amende.(2)

Afin d'éviter de telles sanctions et d'alléger les formalités à la charge du responsable de traitements, les entreprises privées, associations ou administrations publiques, peuvent désigner un Correspondant Informatique et Libertés.

2 - Rôle et obligations du Correspondant Informatique et Libertés


La loi de 2004, ayant transposé la Directive sur la protection des données de 1995, a modifié la loi Informatique et Libertés en introduisant la possibilité pour les entreprises et administrations de nommer un Correspondant Informatique et Libertés ou “CIL”.(3)

Le rôle du CIL  -  Les principales missions incombant au CIL sont les suivantes :
- Tenir un inventaire des traitements de données : le CIL est tenu de dresser et de tenir à jour la liste des traitements automatisés mis en œuvre dans l'organisme au sein duquel il a été désigné ; 
- Veiller à l'application de la loi Informatique et Libertés : le CIL est consulté préalablement à la mise en oeuvre des traitements, fait des recommandations et élabore des dossiers de formalités auprès de la CNIL ; il veille au respect des droits des personnes (droit d'accès, droit d'opposition, etc) ; il reçoit les réclamations des personnes concernées par les fichiers, informe le responsable du traitement en cas de manquements à la loi et préconise des solutions adéquates. A défaut de se mettre en conformité avec la loi, le CIL doit saisir la CNIL des difficultés rencontrées avec son entreprise ou son administration ;
- Rendre compte de son activité : le CIL doit rédiger un bilan annuel faisant état de son action au sein de l'organisme, le présenter devant le responsable des traitements et le tenir à la disposition de la CNIL.

Le CIL doit collaborer au quotidien avec l'organisme qui l'a désigné et avec la CNIL. Le CIL est indépendant et autonome. Il ne reçoit aucune instruction et décide seul, après concertation avec les services concernés de l'organisme, des recommandations à faire. II ne peut faire l'objet de sanctions par l'organisme du fait de l'exercice de sa mission, sauf manquement grave.

Les conditions de désignation du CIL  -  La désignation d'un CIL doit être notifiée à la CNIL. Le CIL peut être interne à l'organisme (salarié de l’entreprise ou agent de l’administration concernée). Le CIL peut également être un consultant externe à l'organisme.

Si plus de 50 personnes au sein d’un organisme sont en charge de la mise en œuvre d’un traitement ou ont accès directement à ce traitement (ex : plus de 50 salariés travaillent sur le fichier clients de la société) alors seul un CIL interne à l’organisme peut être désigné. On considère le CIL comme interne à l’organisme tout CIL salarié de l’organisme, salarié d’une des entités du groupe de sociétés auquel appartient l’organisme, salarié du GIE dont est membre l’entreprise, agent de l’administration concernée, ou toute personne mandatée à cet effet par l'organisme.

En deçà de 50 personnes, le CIL peut-être interne ou externe à l’organisme (ex : avocat, consultant en informatique).

Les qualifications et compétences spécifiques du CIL -  En pratique, le CIL est en relation avec les différents services de l'organisme (services informatique, marketing, finance, ressources humaines), le responsable du traitement et la CNIL. Ce professionnel doit disposer de compétences spécifiques portant sur la réglementation relative à la protection des données personnelles, mais aussi en matière de nouvelles technologies (informatique, internet, etc).

L'avocat CIL  -  Compte tenu des qualités requises pour exercer la mission de CIL, l'avocat est apparu très rapidement comme un professionnel apte à endosser cette fonction, à plusieurs titres. Tout d'abord, l'avocat est qualifié pour remplir les rôles de conseil, auditeur et médiateur. Ensuite, il maîtrise, selon sa spécialité, la réglementation relative à l'exécution de la mission du CIL (protection des données personnelles, droit informatique, droit pénal, etc.). Enfin, il est soumis au respect des règles de déontologie propres à la profession d’avocat, notamment la confidentialité et l'indépendance, ces deux éléments pouvant parfois être difficiles à mettre en oeuvre au quotidien par un CIL salarié de l’entreprise, notamment en cas de traitements complexes et/ou sensibles.(4) C'est pourquoi en 2009 le Conseil National des Barreaux a autorisé l'avocat à être désigné CIL par et pour le compte de ses clients.(5)

Les avantages pour les organismes  -  La désignation d'un CIL interne ou externe présente de nombreux avantages pour les organismes qui exploitent des traitements de données personnelles multiples. Le CIL permet :
    - d'alléger les formalités déclaratives préalables. La désignation d’un CIL a pour effet d’exonérer l’organisme concerné de l’accomplissement des formalités de déclarations des nouveaux traitement à la CNIL ; seuls les traitements soumis à autorisation de la CNIL (ex: biométrie) ou comportant des transferts de données hors Union européenne devront continuer à être déclarés. Ceci peut donc représenter un gain de temps considérable pour les organismes mettant en oeuvre de nombreux traitements de données et/ou des traitements complexes ;
    - d’améliorer la maîtrise des risques juridiques et techniques liés au traitement de données personnelles ;
    - d'être en contact direct et régulier avec la CNIL ;
    - et d'être conseillé en cas de contrôle de la CNIL.

En revanche, la désignation d’un CIL n’a pas pour effet d’exonérer le responsable du traitement de respecter les dispositions de la loi Informatique et Libertés.


Bien que la désignation d’un CIL soit facultative, les avantages que procure un tel partenaire pour l’entreprise ou l’administration, amenées à gérer des traitements nombreux et/ou complexes, ont conduit plus de 8 000 organismes français à désigner un CIL interne ou externe, depuis l’entrée en vigueur de la loi de 2004.


* * * * * * * * * * *

(1) Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés modifiée (notamment article 22) et décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi de 1978 précitée (notamment articles 42 et 55).
(2) Articles 226-16 à 226-24 du Code pénal.
(3) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(4) En application de la règle de confidentialité par exemple, l'avocat CIL ne peut dénoncer son client à la CNIL en cas de manquements à la loi relevés dans le cadre de sa mission de CIL et non corrigés par le responsable du traitement.
(5) Décision CNB du 28 mai 2009, J.O du 11 juin 2009, nouvel article 6.2.2 du Règlement Intérieur National.



Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2011