Traitement des données personnelles : quels fichiers l’employeur doit-il déclarer à la Cnil ?
7 décembre 2015
Les employeurs doivent être vigilants dans leurs « collectes » d’informations relatives aux salariés, au regard des conséquences, tant en matière civile qu’en matière pénale.
Le fait pour un responsable de service d’enregistrer dans un répertoire informatique identifié deux notes qu’il a rédigées faisant état d’appréciations portées sur le travail de l’un de ses subordonnés dans l’objectif de procéder à son évaluation constitue-t-il un «traitement de données à caractère personnel» au sens de la loi informatique et libertés du 6 janvier 1978 ? Doit-il donc faire l’objet d’une déclaration préalable et son auteur commet-il à défaut l’infraction définie à l’article 226-16 du Code pénal ?
Dans un arrêt du 8 septembre 2015 (n° 13-85.587), la Chambre criminelle de la Cour de cassation répond par l’affirmative à ces questions.
Cette solution, particulièrement rigoureuse tant dans l’interprétation du texte que dans ses conséquences pratiques, fournit l’occasion de rappeler aux employeurs les obligations déclaratives qui pèsent sur eux s’agissant du traitement des données personnelles des salariés.
La notion de traitement de données à caractère personnel est appréciée très largement
La loi informatique et libertés pose le principe selon lequel les traitements automatisés de données à caractère personnel doivent faire l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés.
Si les bases de données du personnel ou le dispositif de ligne éthique, qui contiennent notamment des informations relatives à l’état civil, à la nationalité du salarié, constituent de manière évidente des traitements de données personnelles que l’employeur va spontanément penser à déclarer, un certain nombre d’autres dispositifs peut soulever des questionnements.
En premier lieu, la notion de données personnelles est-elle exclusive des informations à caractère professionnel et renvoie-t-elle seulement aux éléments de la vie privée et familiale ?
La réponse est négative. La notion de donnée personnelle est extrêmement vaste puisqu’il s’agit de «toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres». Il suffit en réalité que la personne soit identifiable pour que toute information la concernant soit considérée comme une donnée personnelle.
La notion de «traitement» est également définie de manière très large comme «toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction».
Les juridictions en ont logiquement déduit qu’entraient dans le champ de la loi de 1968 les traitements automatisés de données à caractère personnel constitués à l’occasion de la mise en œuvre d’un dispositif de contrôle du travail des salariés, tant en termes de présence (dispositif de badgeage, durée, provenance et destination des appels téléphoniques depuis les postes individuels, de mémorisation des connections informatiques, etc.) que de contenu (entretien annuel d’évaluation, enregistrement des conversations, conservation des e-mails, etc.).
A cet égard, une difficulté peut également tenir au fait que l’employeur peut ne pas avoir conscience de procéder à un traitement de données personnelles, parce qu’il ne s’agit pas de la finalité immédiate du dispositif (mise en œuvre d’un logiciel d’analyse des différents journaux permettant de collecter des informations individuelles poste par poste et donc de contrôler l’activité des utilisateurs), soit, comme c’était le cas dans l’espèce soumise à la Cour de cassation le 8 septembre dernier, parce que le dossier créé ne comportait que deux documents relatifs à l’appréciation d’un unique salarié.
La Cour d’appel avait estimé que «en-deçà d’un certain seuil de données traitées, la mise en œuvre de fonctionnalités simples, tel un traitement de texte, pour mettre en forme des données personnelles ou un document leur servant de support, ne peut être considérée comme un traitement de données personnelles au sens de la loi de 1978».
La Cour de cassation a censuré cet arrêt, considérant « qu’est réprimé pénalement le fait, y compris par négligence, de procéder ou de faire procéder à un traitement de données à caractère personnel sans qu’aient été respectées les formalités préalables prévues par la loi susvisée qui s’applique aux traitements de données à caractère personnel et n’exige pas le franchissement d’un seuil de données ou de fichiers ».
Notons que la Cour de cassation, qui n’y était pas directement invitée, ne s’est pas prononcée sur le caractère «automatisé» du traitement en question.
La possibilité de procéder à une déclaration simplifiée en matière de gestion du personnel
Si le principe est celui de la déclaration «normale» comportant l’engagement que le traitement satisfait aux exigences de la loi, ainsi qu’un certain nombre d’autres précisions, il existe un certain nombre de normes simplifiées pour les catégories les plus courantes de traitements de données à caractère personnel, dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés.
Ainsi, la Cnil a adopté une norme 46, prévoyant la possibilité de recourir à la procédure de déclaration simplifiée de conformité en matière de gestion du personnel, pour les traitements ayant tout ou partie des finalités suivantes :
- gestion administrative des personnels (notamment gestion du dossier professionnel, gestion des IRP, réalisation d’organigrammes) ;
– mise à disposition d’outils informatiques ; - organisation du travail (par exemple gestion des agendas, des tâches professionnelles) ;
- gestion des carrières et de la mobilité (évaluation professionnelle des personnels, simulation de carrière) ;
- formation professionnelle.
Sont cependant expressément exclus de la procédure de déclaration simplifiée les traitements ayant pour objet l’établissement du profil psychologique des salariés, ainsi que ceux permettant le contrôle individuel de l’activité comme de la productivité des salariés, qui doivent faire l’objet de la déclaration normale.
A noter qu’il existe également d’autres déclarations simplifiées, sous conditions, pour :
- l’écoute et l’enregistrement des conversations téléphoniques sur le lieu de travail (norme n°57) ;
- le badgeage sur le lieu de travail (norme n°42) ;
- la gestion de la téléphonie sur le lieu de travail (norme n°47) ;
- la géolocalisation des véhicules des employés (norme n°51).
Précisons également que les entreprises ayant désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante, le respect des obligations prévues par la loi de 1978 sont dispensées des formalités déclaratives (normales ou simplifiées), sauf lorsqu’un transfert de données à caractère personnel à destination d’un Etat non membre de la Communauté européenne est envisagé ou que le traitement aurait en tout état de cause été soumis à autorisation en vertu de l’article 25 de la loi.
Attention, certains traitements de données personnelles doivent faire l’objet d’une autorisation préalable, voire sont interdits
La loi de 1978 interdit explicitement de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à leur santé ou à leur vie sexuelle ou encore aux infractions et condamnations qu’elles ont encourues.
De manière plus générale, un traitement ne peut porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, qui doivent être légitimes. De plus, ces données doivent avoir été collectées et traitées de manière loyale et licite pour des finalités déterminées, explicites et légitimes et ne doivent pas être traitées ultérieurement de manière incompatible avec ces finalités.
La Cnil considère ainsi que les rubriques «santé» et «budget mensuel actuel» doivent être intégralement supprimées des questionnaires d’embauche, de même que dans la rubrique «situation de famille», les mentions «célibataire, fiancé, marié, remarié, séparé, divorcé, veuf, vie maritale» au profit des mentions «seul» ou «en couple».
Par ailleurs, le traitement de certaines données sensibles (notamment biométriques) est admis dans des conditions spécifiques, mais fait l’objet d’une procédure d’autorisation préalable et non de simple déclaration.
Les risques encourus en l’absence de respect des formalités préalables
L’arrêt du 8 septembre 2015 rappelle aux employeurs l’existence d’un risque pénal majeur. L’employeur qui omet de procéder à la déclaration préalable, y compris par négligence, encourt, pour la personne physique, une peine de cinq ans d’emprisonnement et 300 000 € d’amende (article 226-16 du Code pénal).
Sur le plan civil, l’employeur s’expose à la suspension de son traitement, ainsi qu’à l’indemnisation des salariés au titre du préjudice subi.
L’impact en matière de droit du travail n’est pas non plus des moindres puisque, s’agissant du contentieux prud’homal, la Cour de cassation a jugé irrecevable la preuve tirée d’un logiciel de contrôle des salariés non déclaré à la Cnil (Cass. Soc. 8 octobre 2014, n° 13-14.991).
En conclusion, il est vivement recommandé aux employeurs de faire un régulièrement un point sur leurs pratiques et leurs déclarations.
Auteurs
Raphaël Bordier, avocat associé, département droit social.
Aurore Friedlander, avocat, département droit social
Anne-Laure Villedieu, avocat associée en droit de la propriété industrielle, droit de l’informatique, des communications électroniques et protection des données personnelles.
Traitement des données personnelles : quels fichiers l’employeur doit-il déclarer à la Cnil? – Article paru dans Les Echos Business le 7 décembre 2015
A lire également
Lock Out est bien une contrefaçon d’un film préexistant... 23 février 2017 | CMS FL
Sanctions de la CNIL en cas de violation de données personnelles... 28 novembre 2017 | CMS FL
Alertes professionnelles et loi Sapin 2 : extension de l’autorisation unique A... 22 novembre 2017 | CMS FL
Autorité chef de file, data protection officer et portabilité : les lignes dir... 31 janvier 2017 | CMS FL
Modification de la Directive 95/46/CE sur la protection des données personnelle... 30 juillet 2013 | CMS FL
Pas d’ubérisation du montant des amendes prononcées par la CNIL : les enseig... 30 janvier 2019 | CMS FL
Alertes professionnelles : la CNIL étend le champ d’application de l&rsqu... 1 avril 2014 | CMS FL
Recours contre le brevet européen unitaire... 12 août 2015 | CMS FL
Articles récents
- Syntec : quelles actualités ?
- Modification du taux horaire minimum de l’allocation d’activité partielle et de l’APLD
- Congés payés acquis et accident du travail antérieurs à la loi : premier éclairage de la Cour de cassation
- Télétravail à l’étranger et possible caractérisation d’une faute grave
- La « charte IA » : un outil de contrôle et de conformité désormais incontournable
- Rapport de durabilité : la nouvelle obligation de consultation du CSE entre en vigueur le 1er janvier 2025
- Statut de lanceur d’alerte : le Défenseur des droits et la jurisprudence précisent ses contours
- Enquêtes internes : des règles en constante évolution
- Pas de co-emploi sans immixtion dans la gestion économique et sociale de la société : illustration en présence d’une société d’exploitation
- Fixation du plafond de la sécurité sociale pour 2025