Publications

La plume de l'alouette
Eté 2017

La CNIL et la protection des données personnelles

Questions - Réponses

« Constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres. »

Conformément à la Loi Informatiques et Libertés, la CNIL veille à pro­téger les données à caractère personnel des salariés. C’est pourquoi, l’employeur doit, dans un certain nombre de cas, effectuer des décla­rations préalables avant tout traitement de données personnelles. Il en découle néanmoins un certain nombre d’interrogations.

La désignation d’un correspondant Informatique et libertés (CIL) exonère-t-elle l’entreprise de déclaration ?

La désignation d’un CIL exonère l’employeur de l’obligation de déclaration préalable lors de la mise en place d’un traitement automatisé de données concernant son personnel (fiche de paie, contrôle d’accès à l’entreprise...).
Les instances représentatives du personnel doivent être informées, par lettre remise contre signature, de la désignation d’un corres­pondant préalablement à la notification à la CNIL (Loi n°78-17- Loi n “2004-801 du 06 août 2004 - Décret n“2005-1309 - Décret n°2007-451).

Le CE doit-il effectuer lui aussi des déclarations dans le cadre de la gestion des activités sociales et culturelles ?

Dans le cadre de la gestion des activités sociales et culturelles, le co­mité d’entreprise traite des données à caractère personnel tels que l’identification du salarié, la situation familiale, les éléments profes­sionnels, les prestations offertes et la situation fiscale éventuelle­ment. A ce titre, il doit se conformer à la loi Informatique et Libertés.
Les traitements de gestion sociale ou culturelle les plus courants sont dispensés de déclaration. Pour bénéficier de cette dispense, les traitements envisagés doivent être conformes à la dispense de déclaration n° 10 en date du 17 octobre 2006. Dans tous les autres cas, le CE doit adresser à la CNIL une déclaration normale 
https://www.cnil.fr/fr/dispense/di-010-activite-des-comites-dentreprise-et-detablissement

 NB : les traitements mis en œuvre par le CE sont distincts de ceux de l’entreprise auquel il est rattaché, chaque entreprise étant responsable de ses propres traitements. par conséquent, si l’entreprise a nommé un CIL, le CE ne bénéficie pas de l’exo­nération des formalités déclaratives à la CNIL.

Un employeur peut-il être sanctionné s’il ne respecte pas les règles de la CNIL ?

La CNIL dispose d’un pouvoir de sanction dont elle peut faire usage sous certaines conditions, lorsque leurs systèmes de contrôle des salariés donnant lieu à un traitement de données personnelles méconnaissent les dispositions de la loi « Informatique et Libertés » (article 45 de la Loi n° 78-17).

La CNIL a le libre choix pour la fixation du montant de la sanction pécuniaire. La loi exige seulement que le montant soit « propor­tionné à la gravité du manquement commis » (article 47)
Il s’avère que la CNIL est plutôt indulgente envers les entreprises qui ne respectent leurs obligations de déclarations, puisqu’après trois lettres recommandées, un procès-verbal, une mise en de­meure et une relance, l’employeur qui n’a toujours pas dénié répondre et régulariser sa situation se voit sanctionné du paie­ment de la somme de 1000 euros. La sanction prononcée à son encontre est minime quand on connaît le plafond maximal lé­gal de 3 millions d’euros (délibération de la CNIL du 15 juin 2017).

 NB : le Conseil d’Etat reconnaît à la CNIL, dans l’exercice de son pouvoir de sanction, la qualité de tribunal au sens de l’article 6 de la CEDH (CE, 19 février2008, n°311974).

Un courriel d’une messagerie professionnelle non déclarée à la CNIL est-il une preuve valable ?

La norme n°46 de la CNIL impose la déclaration simplifiée pour la gestion de la messagerie électronique professionnelle. 
Dans un arrêt du 1er juin dernier, les hauts juges ont estimé que l’employeur pouvait produire en justice les courriels d’un sala­riés issus d’une messagerie électronique professionnelle, et ce même si elle n’avait pas fait l’objet de la déclaration simplifiée requise (Cass, soc, 1er juin 2017, n°15-23.522).

Comment savoir si mon employeur a fait des déclarations à la CNIL ?

Vous pouvez obtenir, en invoquant l’article 31 de la loi du 6 janvier 1978, la liste des fichiers déclarés à la CNIL par votre employeur en adressant une demande écrite à la CNIL. Il faut bien préciser le nom de l’entreprise concernée, son adresse postale et son numéro SIREN (ces informations figurent sur les fiches de paye). La liste des informations communicables vous sera adressée par courrier électronique dans un délai moyen maximum de 30 jours. 
https://www.cnil.fr/fr/cnil-direct/question/164

Alison VILLIERS, Juriste

 

APPLICATION MOBILE

L’actualité du droit du travail et de ses évolutions… du bout des doigts.
En savoir plus

Nos prochaines formations

Partagez

Mise à jour :jeudi 21 novembre 2024
| Mentions légales | Plan du site | RSS 2.0