|
Accueil  Blog Droit des logiciels Fichiers / CNIL
|
Le cabinet Jurisexpert a le plaisir de vous informer qu’il a rejoint l’AFCDP, l’association française des correspondants aux données personnelles.
Le cabinet est correspondant informatique et libertés de 6 PME à ce jour.
De nombreuses chartes informatiques ont été rédigées au moment des jurisprudences nikon et suivantes.
Une relecture s’impose afin de les adapter à la jurisprudence actuelle et à l’évolution du droit des données personnelles.
Dans un arrêt du 15 décembre 2010, la Cour de Cassation a rappelé que, si la conservation de fichiers à caractère pornographique sur le poste de travail d’un salarié, ne constitue pas en soi un usage abusif affectant le travail et justifiant son licenciement, ce comportement peut, néanmoins, être sanctionné si la Charte Informatique, intégrée dans le règlement intérieur de l’entreprise, le prévoit.
Dans cet arrêt, la Cour de Cassation a approuvé l’arrêt de la Cour d’Appel de METZ qui avait considéré que l’utilisation par un salarié de la messagerie électronique de l’entreprise pour la réception et l’envoi d’un nombre conséquent de documents pornographiques et leur conservation sur son disque dur, constituait un manquement répété à l’interdiction posée par la Charte en question et donc, une faute grave de nature à justifier son licenciement immédiat.
A l’inverse, dans une autre affaire dans laquelle aucune Charte n’avait été signée, la Cour de Cassation a considéré que le licenciement intervenu était abusif.
Recommandation: Il convient de vérifier les usages interdits au titre de la Charte, afin de pouvoir sanctionner ce type de comportement.
Si l’adoption des chartes informatiques a aujourd’hui tendance à se généraliser dans les entreprises et organismes publics, il est permis de s’interroger sur la pertinence de l’inclusion dans ce document des aspects relatifs aux traitements de données à caractère personnel.
Destinées à organiser les conditions d’utilisation par les salariés du système d’information de l’employeur, les chartes informatiques ont d’abord pour objet l’emploi de la messagerie électronique, d’Internet et, plus généralement, des fichiers matériels et logiciels utilisés par les salariés dans le cadre de l’accomplissement de leurs fonctions.
L’adoption d’une charte informatique se justifie par le rappel des droits et obligations des salariés en la matière et vise la recherche d’un équilibre entre vie privée du salarié et protection des intérêts légitimes de son employeur.
La particularité des règles applicables aux traitements de données à caractère personnel, suffit à légitimer l’adoption d’un document distinct de la Charte Informatique, dans lequel seront rappelés les principes essentiels applicables à la collecte, au traitement et à la conservation de données à caractère personnel.
La loi Informatique et Libertés n° 78-17 du 6 janvier 1978, modifiée le 6 août 2004, définit une donnée à caractère personnel comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».
Qu’il s’agisse de la création d’un fichier destiné à gérer la relation client, d’un traitement mis en place afin d’assurer la paie des salariés ou encore de la collecte d’adresse de courrier électronique à des fins d’envoi d’une newsletter, l’ensemble des traitements de données à caractère personnel mis en œuvre dans l’entreprise, sont assujettis aux règles résultant de la loi Informatique et Libertés et peuvent utilement faire l’objet d’un code de bonne conduite, imposé par l’employeur à ses salariés.
Annexée au règlement intérieur, la Charte Informatique et Libertés se dote, alors, de l’objectif de sensibiliser son personnel sur les sanctions pénales et administratives applicables au non respect des prescriptions légales en la matière et leur rappelle les conditions de conformité des traitements effectués.
Ainsi, des aspects relatifs à la finalité, aux destinataires du traitement, pourront être rappelés, de même que le nécessaire respect de la durée de conservation des données traitées, et l’information des personnes concernées sur leurs droits d’accès de modification et de suppression des données les concernant.
La Charte Informatique et Libertés doit également aborder la problématique du transfert des données à caractère personnel en dehors de l’Union Européenne, notamment envers des états n’assurant pas une protection suffisante de ces données.
La Charte Informatique et Libertés est également le support approprié pour rappeler la politique suivie par l’employeur en matière de traitement de données à caractère personnel.
Ainsi, dans les entreprises dotées d’un correspondant Informatique et Libertés, la Charte sera l’occasion de rappeler son existence et les conditions de son intervention et de son indépendance.
Plus généralement, l’adoption d’une telle Charte, inscrit entreprises et organismes publics, dans une démarche plus professionnelle de traitement des données à caractère personnel.
La multiplication des contrôles effectués par la CNIL, comme le renforcement des pouvoirs de sanction confiés à celle-ci, risquent de donner raison à ceux ayant fait le choix d’une sensibilisation claire de leurs salariés sur le plan des principes essentiels à respecter, des sanctions pénales et administratives applicables comme sur celui du rappel des règles de déontologie et de sécurité à respecter.
Plusieurs démarches sont à respecter lors de l’installation d’un système de vidéosurveillance.
Celles-ci diffèrent selon l’endroit où se trouvent les caméras de surveillance.
1. Compétence de la CNIL
L’installation d’un système de vidéosurveillance relève, dans un lieu privé, de la compétence de la CNIL.
En effet, la CNIL est compétente dès qu’il s’agit d’un système de vidéosurveillance numérique, qui tombe alors dans le champ d’application de la loi n°78-17 du 6 janvier 1978, relative à l’Informatique, aux Fichiers et aux Libertés. Selon cette loi, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
De même, constitue un traitement de données à caractère personnel toute opération et tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion ainsi que le verrouillage, l’effacement ou la destruction.
Ainsi, la mise en place d’enregistrements de vidéos constitue un traitement de données à caractère personnel, et entre dans le champ d’application de l’article 2 de ladite loi.
De ce fait, l’entreprise devra déclarer son traitement sur la base du formulaire de déclaration normale proposé par la CNIL. Il y sera indiqué les éléments de conservation des données, généralement fixée à un mois maximum, les éléments relatifs à l’accès aux informations, aux moyens de sécurité mis en place, etc.
La CNIL vérifiera la proportionnalité et la pertinence du système au regard de la finalité indiquée, ainsi que l’adéquation entre les fonctions d’outils et les objectifs poursuivis. Les critères utilisés par la CNIL pour vérifier l’adéquation du moyen de vidéosurveillance par rapport aux finalités proposées reposeront sur l’emplacement des caméras, leur nombre, leur orientation, leur fonctionnalité, la période de fonctionnement, l’enregistrement ou non du son, etc.
Une procédure d’autorisation devra être mise en place, s’il y a utilisation d’une technique biométrique.
Toutefois, un système de vidéosurveillance qui serait installé dans le cadre de la surveillance d’un domicile privé n’est pas soumis à déclaration auprès de la CNIL, dans la mesure où il s’agirait d’un traitement mis en œuvre pour une activité exclusivement personnelle, et à condition que seul le domaine privé soit filmé (intérieur d’une cour…), et non la porte d’entrée donnant sur la rue.
Il en est de même pour les lieux mixtes, c’est-à-dire un lieu à la fois public ou ouvert au public, et privé, comme par exemple un supermarché composé d’une partie ouverte au public et d’une partie privée réservée aux salariés.
On entend par lieu ouvert au public un lieu accessible à tous, sans autorisation spéciale de quiconque, que l’accès soit permanent et inconditionnel ou subordonné à certaines conditions. Il s’agit par exemple de banques, de commerces, d’espaces publics, etc.
A l’inverse, sont considérés comme des lieux non ouverts au public les entrepôts, les bureaux fermés au public, etc.
Dans une note de la CNIL d’Avril 2008, adressée au Ministre de l’Intérieur, la CNIL a fait part des difficultés d’articulation entre les deux systèmes. Le rapport déposé au Sénat le 10 décembre 2008 plaide pour un nouvel encadrement juridique de la vidéosurveillance.
Le Groupe de Travail du Sénat constate qu’il reste des problèmes de compétence entre la CNIL et le Préfet, qui ne sont pas tranchés et qui se multiplient, et des systèmes de vidéosurveillance dont les finalités ne sont pas prévues par la loi. Le Groupe de Travail recommande que toutes les compétences relatives à la vidéosurveillance soient regroupées au sein de la CNIL. Il recommande également d’améliorer l’information du public, notamment sur la mise en ligne de cartes de zones sous surveillance, et sur la signalisation des outils mis en place sur la voie publique, et l’indication de la durée de conservation. Il recommande également de professionnaliser ceux qui visionnent les images, notamment au sein de la police et de la gendarmerie, et d’encadrer strictement la vidéosurveillance intelligente, ou biométrique.
2. Consultation des instances représentatives du personnel
Conformément à l’article L432-2-1 du Code du Travail, l’employeur a le droit de contrôler et de surveiller l’activité de son personnel durant le temps de travail, mais il ne peut mettre en œuvre un dispositif de contrôle qui n’a pas fait l’objet, préalablement à son introduction, d’une information et d’une consultation du comité d’entreprise.
La Cour de Cassation, dans un arrêt du 7 juin 2006 (Pourvoi n° P04-43.866), a indiqué que les enregistrements du salarié constituaient un moyen de preuve illicite si le système de vidéosurveillance mis en place par l’employeur pour surveiller la clientèle était également utilisé pour contrôler ses salariés, sans information et consultation préalable du comité d’entreprise. En conséquence, les faits de vols ne pouvaient être retenus à l’encontre du salarié.
Dans un arrêt de la Cour d’Appel de PAU du 14 avril 2008 (N° 07/00352), les magistrats ont indiqué « dès lors qu’il n’est pas démontré que le comité d’entreprise a été informé et consulté, préalablement à la décision de l’employeur de mettre en œuvre dans l’entreprise un système de vidéosurveillance, celui-ci ne saurait être considéré comme la mise en place de moyens ou de techniques permettant un contrôle de l’activité des salariés, de sorte qu’il est interdit à l’employeur d’utiliser des moyens de preuve obtenus à l’aide de ce procédé pour vérifier, contrôler et établir les manquements ou les fautes des salariés ».
Toutefois, ces dispositions ne sont pas obligatoires si les outils de vidéosurveillance sont utilisés pour surveiller des locaux dans lesquels les salariés ne travaillent pas. La Cour de Cassation a statué en ce sens le 31 janvier 2001 (Pourvoi n° R98-44.290), « l’employeur est libre de mettre en place des procédés de surveillance des entrepôts ou autres locaux de rangement dans lesquels les salariés ne travaillent pas (…) le système de vidéosurveillance avait été installé par l’employeur dans un entrepôt de marchandises et il n’enregistrait pas l’activité des salariés affectés à un poste de travail déterminé. A l’inverse, un salarié, faisant obstruction au fonctionnement d’un système de vidéosurveillance mis en place par la société peut être sanctionné » (CAA, 7 novembre 2007 : « Le refus de se conformer aux consignes de sécurité de l’employeur, propre à perturber le fonctionnement de l’entreprise, constitue une faute grave de nature à justifier le licenciement du salarié concerné »).
3. Information des personnes
L’employeur a également l’obligation d’informer les personnes physiques susceptibles d’être filmées, et l’obligation de mettre en place un panneau d’information situé à l’entrée de son entreprise, destiné au personnel et aux personnes extérieures, tels les visiteurs. La mention peut être par exemple la suivante :
« Etablissement sous vidéosurveillance.
Nous vous informons que cet établissement est placé sous vidéosurveillance pour des raisons de sécurité. Pour tout renseignement, veuillez vous adresser au service suivant : [A COMPLETER] auprès duquel vous pouvez également exercer votre droit d’accès, conformément à la loi n°78-17 du 6 janvier 1978, relative à l’Informatique, aux Fichiers et aux Libertés, modifiée par la loi du 6 août 2004. »
La Cour d’Appel de RIOM a eu vocation, à l’inverse, de préciser que « les moyens de preuve produits par l’employeur, dès lors qu’ils ont été utilisés après information du salarié, doivent donc être considérés recevables » (CA RIOM, 24 février 2004, n° 02/02745).
4. Compétence du Préfet
Les systèmes de vidéosurveillance installés sur les voies publiques ont pour objet la protection d’un bâtiment public, la sauvegarde des installations utiles à la Défense Nationale, la régulation du trafic routier, la constatation des infractions aux règles de la circulation, ou encore la prévention des atteintes à la sécurité des biens et des personnes, ou du terrorisme.
Les données peuvent être conservées un mois maximum.
Selon une enquête IPSOS de Mars 2008, 71 % des personnes interrogées sont favorables à la vidéosurveillance dans les lieux publics.
En 2007, la CNIL a reçu 1.400 déclarations de vidéosurveillance contre 300 en 2005.
Le Gouvernement a pour projet d’installer 38.000 caméras supplémentaires.
La vidéosurveillance dans les lieux ouverts au public relève de la loi 95-73 du 21 janvier 1995, d’Orientation et de Programmation relative à la Sécurité, du décret 96-926 du 17 octobre 1996, de l’article 226-1 du Code Pénal, et de la loi du 23 janvier 2006, relative au Terrorisme.
Le système prévoit que toute vidéosurveillance mise en place dans les lieux ouverts au public doit correspondre à une finalité de sécurité des personnes et des biens, contre les agressions, les vols, le terrorisme.
Une autorisation préalable doit être obtenue de la part du Préfet du Département. Cette autorisation est donnée pour cinq ans, et est renouvelable après avis de la Commission Départementale des Systèmes de Vidéosurveillance.
Les systèmes de vidéosurveillance font l’objet d’un contrôle par la Commission, composée d’un magistrat du Tribunal administratif, d’un maire, d’un représentant de la Chambre de Commerce et d’une personnalité qualifiée choisie par le Préfet.
Selon le décret 2009-86 du 22 janvier 2009, la Commission peut se faire communiquer par le titulaire du système de vidéosurveillance l’autorisation de la date de mise en service et de localisation des caméras. La Commission a la possibilité de s’autosaisir pour contrôler les conditions de fonctionnement d’un système de vidéosurveillance, et faire des recommandations ou suspendre le système.
II ressort du rapport d’activité 2007 de la Cnil que ses missions de contrôle prennent de plus en plus d’importance. Cette évolution est logique depuis la loi de 2004.
Il est de bon ton de considérer que le Web 2.0 constitue une évolution dans l’univers du Web. Toutefois, en matière juridique, cette opinion ne nous convainc pas totalement.
Certes, le Web 2.0 brouille les cartes. Là où il restait auparavant relativement aisé d’identifier l’éditeur d’un site Internet et les prestataires techniques intervenant dans sa mise en ligne, tels que : hébergeurs, fournisseurs d’accès, l’avènement de ce mode participatif rend désormais plus flou la frontière entre l’internaute passif, se contentant de consulter des pages Internet, et l’internaute actif, postant des contributions sur des sites tiers par le biais, par exemple, de forums de discussions, d’évaluations d’achats sur des sites marchands, etc.
Il est fréquent de prévoir des interventions d’opérateurs chargés de la maintenance informatique sur les postes des salariés d’une entreprise.
La mise en œuvre d’opérations de maintenance est susceptible de permettre aux administrateurs ou prestataires qui les assurent à avoir accès à la messagerie, à l’historique de connexions Internet, aux fichiers, etc., disponibles sur les postes de travail des salariés visés par l’opération.
Ces opérations peuvent notamment être réalisées par le biais de logiciels de télémaintenance, permettant de prendre le contrôle à distance de l’outil informatique.
Certaines précautions doivent être prises lors de telles interventions.
Ainsi, il y a lieu d’informer préalablement et de recueillir l’accord du salarié visé, pour permettre un accès et une intervention à distance de l’administrateur ou prestataire informatique, celui-ci pouvant être sollicité par simple validation d’un message d’information apparaissant sur son écran.
Lire la suite de ce billet »
Le Conseil d’Etat, par une décision du 23 mai 2007, a annulé le refus de la CNIL d’autoriser la mise en place de fichiers de recherches et de constatations de contrefaçon sur Internet.
La CNIL avait été saisie par différentes sociétés de gestion collective de droits d’auteur.
La transposition, par la loi du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements à caractère personnel, de la directive cadre du 24 octobre 1995, encadre la mise en œuvre des traitements automatisés susceptibles « du fait de leur nature, de leur portée ou de leur finalité d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat, en l’absence de toute disposition législative ou réglementaire » (article 25 de la loi du 6 août 2004).
Cet article 25 a vocation à s’appliquer de manière large. Ainsi, des traitements qui seraient simplement susceptibles d’exclure une personne d’un droit sont visés par ce texte, tout comme ceux dont l’exclusion ne serait pas la finalité mais la conséquence, ou encore, ceux impliquant l’exclusion d’une prestation ou d’un simple contrat. Il peut s’agir des fichiers d’incident de paiement, relativement répandus en matière de vente en ligne, l’acheteur ayant connu un incident de paiement se voyant refuser un achat ultérieur.
| L | Ma | Me | J | V | S | D |
|---|---|---|---|---|---|---|
| « jan | ||||||
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | ||||
