La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés.

Présentations similaires


Présentation au sujet: "Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés."— Transcription de la présentation:

1 Module 4 La protection des données personnelles

2 « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés (1978) – La CNIL : rôle et mission –

3 4.1. Quand appliquer la loi informatique et libertés ? Seulement la protection de la personne physique Distinction : -personne physique protégée, même dans son activité professionnelle -personne morale non protégée par cette loi. D’autres critères : -Données personnelles ? -Traitement de données ? -Responsable du traitement ?

4 4.1.1 Qu'est-ce qu'une donnée personnelle ? Article 2 al. 2 Loi 1978 Une donnée personnelle est une information qui permet d’identifier ou de reconnaître une personne physique, directement ou indirectement. Par exemple, un nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d'un ordinateur ( il y a débat ), numéro de téléphone, numéro de carte de paiement, plaque d'immatriculation d'un véhicule, d’une empreinte digitale, ADN, photo, numéro de sécurité sociale....

5 Exemple L’image des personnes L’image des personnes : L’image d’une personne est une donnée à caractère personnel. Les principes de la loi "informatique et libertés" s’appliquent. La diffusion à partir d’un site web, par exemple, de l’image ou de la vidéo d’une personne doit se faire dans le respect des principes protecteurs de la loi du 6 janvier 1978 modifiée. Ces principes rejoignent les garanties issues du droit à l’image – Principe du consentement.

6 Rappel sur le droit à l’image Principe du consentement écrit et personnel de la part d’une personne concernant la diffusion de son image. – Par exception : possibilité de reproduire une photo au titre du droit à l’information du public Nécessiter de prouver le lien direct entre l’information et la photo. – Le consentement tacite ? Prouver "sujet" a participé en connaissance de cause à la captation de son image dans le cas d’un reportage.

7 4.1.2 Qu’est ce qu’un « traitement de données » : Traitement de données ? tous types de manipulation Article 2 al. 3 L 78 : Constitue un traitement de données à caractère personnel la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.

8 Qu’est ce qu’un responsable d’un traitement de données ? C’est sur lui que pèse l’obligation de respecter la loi de 1978, Article 3-1 Loi 1978 : – Critères : détermination des finalités & moyens – Le responsable d’un traitement de données à caractère personnel est, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens. – Ce n’est pas le sous-traitant : par exemple un hébergeur.

9 Le sous-traitant Article 35 de la loi informatique et libertés : Les données à caractère personnel ne peuvent faire l’objet d’une opération de traitement de la part d’un sous-traitant que sur instruction du responsable du traitement. Toute personne traitant des données à caractère personnel pour le compte du responsable du traitement est considérée comme un sous-traitant au sens de la présente loi. Le sous-traitant doit présenter des garanties suffisantes pour assurer la mise en œuvre des mesures de sécurité et de confidentialité mentionnées. Cette exigence ne décharge pas le responsable du traitement de son obligation de veiller au respect de ces mesures. Le contrat liant le sous-traitant au responsable du traitement comporte l’indication des obligations incombant au sous-traitant en matière de protection de la sécurité et de la confidentialité des données et prévoit que le sous-traitant ne peut agir que sur instruction du responsable du traitement.

10 4.2. Les droits des personnes traitées : Le droit à l'information ? Le droit à l'information Le droit d'accès ? Le droit d'accès Le droit de rectification ? Le droit de rectification Le droit d'opposition ? Le droit d'opposition

11 4.2.1 Le droit à l’information Toute personne a le droit de savoir si elle est fichée et dans quels fichiers elle est recensée. Ce droit de regard sur ses propres données personnelles vise aussi bien la collecte des informations que leur utilisation. Ce droit conditionne l'exercice des autres droits tels que le droit d'accès ou le droit d'opposition. Toute personne qui met en œuvre un fichier ou un traitement contenant des données personnelles doit informer les personnes fichées de : – l’identité du responsable du traitement, – l’objectif de la collecte d’informations, – le caractère obligatoire ou facultatif des réponses, – les conséquences de l’absence de réponse, – les destinataires des informations, – les droits reconnus à la personne, – les éventuels transferts de données vers un pays hors de l’Union Européenne. En pratique : les personnes sont informées au moment de la collecte de leurs données sur -le formulaire de collecte des données par des mentions obligatoires; -et souvent par l’intermédiaire d’une charte de confidentialité (privacy policy).privacy policy

12 Exemple de mention obligatoire sur Formulaire de collecte de données personnelles Modèles de mentions légales : ………………………… (Veuillez indiquer l’identité du responsable du traitement) « Les informations recueillies font l’objet d’un traitement informatique destiné à … (Veuillez préciser la finalité). Les destinataires des données sont :……………………… (précisez). Conformément à la loi « informatique et libertés » du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à …………………………………… (Veuillez préciser le service et l’adresse). Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant. Pour plus de modèles : responsabilites/informations-legales/ Pour plus de modèles : responsabilites/informations-legales/

13 4.2.2 Le droit d’opposition Toute personne a la possibilité de s'opposer, pour des motifs légitimes, à figurer dans un fichier. Attention : un régime particulier pour la prospection commerciale sur internet reposant sur le consentement de l’internaute (cf. plus loin) Le droit d'opposition peut s’exprimer : par un refus de répondre lors d’une collecte non obligatoire de données, par le refus de donner l’accord écrit obligatoire pour le traitement de données sensibles telles que les opinions politiques ou les convictions religieuses, la faculté de demander la radiation des données contenues dans des fichiers commerciaux, la possibilité de s'opposer à la cession ou la commercialisation d’informations, notamment par le biais d’une case à cocher dans les formulaires de collecte... Les limites au droit d’opposition Le droit d'opposition n'existe pas pour de nombreux fichiers du secteur public comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécurité sociale ….

14 Dans chaque message une possibilité de désinscription Par tous moyens qu'il s'agisse de retrait en ligne de la liste des adresses de courriers électroniques utilisées, par envoi d'un message qui pourra être suivi d'un accusé de réception, ou sur une page web accessible d'un simple « clic » figurant dans le message commercial. Les réclamations reçues par la CNIL font apparaître que les liens de désinscription ne fonctionnent pas toujours, lorsqu'ils existent. Une fois la désinscription demandée par l'internaute, l'effacement de ses données doit s'effectuer dans les plus courts délais. Enfin, indiquez sur la page de désinscription le nom et les coordonnées du responsable du traitement et du propriétaire du fichier source s'il est différent du responsable du traitement. Répercutez l'action de désinscription ou d'opposition au responsable du traitement et à l'annonceur lorsque cette demande s'adresse à l'annonceur.

15 4.2.3 Droit d’accès Toute personne a le droit d'interroger le responsable d’un fichier pour savoir s’il détient des informations sur elle Toute personne justifiant de son identité a le droit d'interroger le responsable d’un fichier ou d’un traitement pour savoir s’il détient des informations sur elle, et le cas échéant d’en obtenir communication. Toute personne peut prendre connaissance de l’intégralité des données la concernant et en obtenir une copie dont le coût ne peut dépasser celui de la reproduction. En exerçant son droit d’accès, la personne peut s’informer : des finalités du traitement, du type de données enregistrées, de l’origine et des destinataires des données, des éventuels transferts de ces informations vers des pays n’appartenant pas à l’Union Européenne. Toute personne est en droit d’obtenir des explications sur le procédé informatique qui a contribué à produire une décision la concernant (scoring, segmentation, profil …).

16 Un régime particulier : le droit d'accès indirect Le droit d’accès indirect est une procédure spécifique qui concerne : les fichiers intéressant la sûreté de l’Etat, la défense et la sécurité publique (fichiers de police judiciaire, fichiers des services de l’information générale - « ex renseignements généraux » -, fichiers de renseignement de la direction générale de la sécurité extérieure, fichier Schengen) certains fichiers du ministère de la Justice (fichier des détenus dans les prisons) Dans ce cas, la CNIL est l’interlocuteur de la personne traitée. Elle ne gère pas les fichiers concernés et n’a donc pas connaissance des personnes qui y figurent. C’est un magistrat de la Commission qui exerce votre droit d’accès et de rectification pour votre compte. Il peut demander à ce que les informations incomplètes, obsolètes ou non conformes aux textes régissant le fonctionnement des fichiers en cause soient complétées, mises à jour ou supprimées.

17 4.2.4 Droit de rectification Toute personne peut faire rectifier des informations qui la concernent Toute personne peut faire rectifier, compléter, actualiser, verrouiller ou effacer des informations qui la concernent lorsque ont été décelées des erreurs, des inexactitudes ou la présence de données dont la collecte, l'utilisation, la communication ou la conservation est interdite. Lorsque des modifications sont apportées aux données concernant une personne qui a exercé son droit de rectification, le responsable du traitement doit justifier, sans frais pour la personne qui en a fait la demande, des opérations qu'il a effectuées.

18 Le droit à l’oubli & Google Le 13 mai 2014, le CJUE a jugé, dans son arrêt Google Spain SL/Aepd que les moteurs de recherche étaient tenus de supprimer de la liste des résultats affichés à la suite d’une recherche à partir du nom d’une personne des liens vers des pages web contenant des informations relatives à cette personne, dès lors que cette dernière en fait la demande. Google Spain SL/Aepd

19 Pour aller plus loin… FAQ des questions les plus fréquemment posées à la CNIL droits-en-questions/ droits-en-questions/

20 4.3. Les obligations du responsable du traitement Sécurité, confidentialité, durée, information des personnes, information ou autorisation Source : responsabilites/vos-obligations/ Source : responsabilites/vos-obligations/

21 La sécurité des fichiers Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement. Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d'emprisonnement et de € d'amende. art du code pénal art du code pénal

22 La confidentialité des données Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc). La communication d’informations à des personnes non-autorisées est punie de 5 ans d'emprisonnement et de € d'amende. La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d'emprisonnement et de € d’amende. art du code pénalart du code pénal

23 La durée de conservation des informations Les données personnelles ont une date de péremption. Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier. Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d'emprisonnement et de € d'amende. art du code pénal art du code pénal

24 4.3.4 L’information des personnes Le responsable d’un fichier doit permettre aux personnes concernées par des informations qu’il détient d'exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées. Le refus ou l'entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et € en cas de récidive. art du code pénal Décret n° du 20 octobre 2005 art du code pénalDécret n° du 20 octobre 2005

25 L'autorisation de la CNIL Les traitements informatiques de données personnelles qui présentent des risques particuliers (données sensibles) d’atteinte aux droits et aux libertés doivent, avant leur mise en œuvre, être soumis à l'autorisation de la CNIL.données sensibles Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d'emprisonnement et € d'amende. art du code pénal art du code pénal

26 Respect de la finalité des traitements Un fichier doit avoir un objectif précis. Les informations exploitées dans un fichier doivent être cohérentes par rapport à son objectif. Les informations ne peuvent pas être réutilisées de manière incompatible avec la finalité pour laquelle elles ont été collectées. Tout détournement de finalité est passible de 5 ans d'emprisonnement et de € d'amende.art du code pénalart du code pénal

27 Un exemple Ainsi par exemple a été jugé que constitue le délit de détournement de finalité, l’envoi par une Caisse d’Epargne de publicités dans la même enveloppe que celle utilisée pour adresser des relevés de comptes, alors que le traitement avait été déclaré en conformité à une norme simplifiée qui n’avait pas prévu ce type d’envois.

28 Transfert de données hors U.E Qu'est-ce qu'un transfert de données personnelles? lorsque des données personnelles sont transférées depuis le territoire européen vers des pays situés en-dehors de l'Union européenne. Ces transferts sont interdits sauf : 1.Si le transfert a lieu vers un pays reconnu comme "adéquat" par la Commission européenne. (Canada, de la Suisse, de l'Argentine, des territoires de Guernesey, de Jersey et de l'Isle de Man …) 2.Si des Clauses Contractuelles Types, approuvées par la Commission européenne, sont signées entre deux entreprises ou, 3.Si des Règles internes d'entreprises (BCR) sont adoptées au sein d'un groupe ou, 4.Si dans le cas d'un transfert vers les États-Unis, l'entreprise destinataire a adhéré au Safe Harbor ou, 5.Si l'une des exceptions prévues par l’article 69 de la loi Informatique et Libertés est invoquée.des exceptions Sanctions pénales : Articles , A et du Code pénal A Pour aller plus loin :

29 4.4. Les procédures devant la CNIL Des procédures distinctes en fonction des situations : – cnil/ cnil/

30 5 situations à prendre en compte à la CNIL 1.Dispense de déclaration : 2.Simple déclaration de conformité à une norme simplifiée : 3.La déclaration normale : 4.La demande d’autorisation : 5.Le CIL

31 4.4.1 Cas 1 : Les dispenses de déclaration à la CNIL 1.Comptabilité générale 2.Paie des personnels du secteur privé 3.Fournisseurs 4.Sites web personnels ou blogs 5.Fichiers de communication non commerciale 6.Associations : gestion des membres et donateurs 7.Activités exclusivement personnelles 8.Membres d'organismes religieux, philosophiques, politiques ou syndicaux 9.Conservation d'archives 10.Journalisme, expression littéraire ou artistique Pour aller plus loin : Déclarer un fichier sur le site la CnilDéclarer un fichier sur le site la Cnil

32 4.4.2 Cas 2 : La déclaration de conformité à une norme simplifiée Si le fichier est courant, il peut faire l’objet d’une déclaration simplifiée. Il s’agit d’un engagement de se conformer à des règles simples : – norme simplifiée, – autorisation unique – ou acte réglementaire unique

33 Application pratique Analyse d’une norme simplifiée Fichiers clients-prospects et vente en ligne (Norme simplifiée n° 48) Fichiers clients-prospects et vente en ligne (Norme simplifiée n° 48)

34 Cas 3 : La déclaration normale Applicable aux traitements qui ne soulèvent pas de difficultés au regard de la protection des libertés mais qui ne rentrent pas dans un cas identifié de déclaration normale. Faire une déclaration normale en cas de doute.déclaration normale

35 4.4.4 Cas 4 : Demande d'autorisation Cette procédure s'applique dans l'un des trois cas suivants : 1/ si vous enregistrez des données sensibles : - origines raciales ou ethniques, opinions philosophiques, politiques, syndicales, religieuses, vie sexuelle ou santé des personnes - Données biométriques - Données génétiques - Infractions, condamnations, mesures de sûreté - N° de sécurité sociale (sauf organismes autorisés) - Appréciations sur les difficultés sociales des personnes. 2/ ou si votre traitement poursuit des finalités spécifiques : - traitements statistiques de l'INSEE - traitements susceptibles d'exclure du bénéfice d'un droit, d'une prestation ou d'un contrat - l'interconnexion de fichiers ayant des finalités distinctes ou correspondant à des intérêts publics distincts 3/ ou si vous transférez des données vers un pays hors de l'union européenne La procédure auprès de la CNIL dépend du niveau de protection du pays vers lesquels vous transférez ces données

36 Un CIL ? La désignation d’un correspondant Informatique et Libertés, ou «CIL», permet au responsable de traitement d’alléger ses obligations de déclaration auprès de la CNIL. Au sein de sa structure, ou en externe pour les petites structures, il désigne une personne qui sera chargée : – de tenir un registre des traitements mis en œuvre au sein de l’organisme – de veiller au respect des dispositions de la loi « informatique et libertés » au sein de l’organisme. – En contrepartie, l’organisme qui a désigné un CIL n'a plus à effectuer les formalités pour les traitements qui relèvent du régime de la déclaration. Seules les demandes d’autorisation ou demandes d’avis devront être effectuées auprès de la CNIL. Un expert au service de la protection des données De nombreux organismes s’appuient déjà sur l’expertise de leur correspondant informatique et libertés (CIL). Accessible aux organismes publics et privés, le CIL est un moyen de se prémunir contre de nombreux risques vis-à-vis de l’application de la loi. La présence du CIL permet aux organismes qui le désignent de mettre en œuvre une politique de protection des données efficace. La désignation du CIL est facultative

37 4.5. Première application pratique : la prospection par internet Les règles de la prospection par courrier électronique Source : pub-spam/fiches-pratiques/article/la- prospection-commerciale-par-courrier- electronique/http://www.cnil.fr/dossiers/conso- pub-spam/fiches-pratiques/article/la- prospection-commerciale-par-courrier- electronique/

38 L' ing n'est pas du "spam" dès lors qu'il respecte les règles et recommandations suivantes : Pas de prospection électronique de particuliers à partir d’adresses de courriers électroniques collectées dans les espaces publics de l'internet (site web, annuaire, forum discussion,…).

39 Utilisez les adresses de courriers électroniques collectées de manière loyale : Lorsque la personne a été informée d'une telle utilisation, et mise en mesure, au moment de la collecte de son adresse, soit d’y consentir, soit dans certains cas spécifiques de s’y opposer. Si vous souhaitez utiliser un fichier d’adresses de courriers électroniques à des fins de prospection : s’il s’agit d’un fichier loué et/ou acheté auprès de prestataires spécialisés, vous devez vous assurer contractuellement que les adresses électroniques utilisées ont été collectées de manière régulière ; s’il s’agit de votre propre fichier, vous devez vous assurer que les personnes concernées aient été informées de manière appropriée.

40 Le recueil du consentement préalable des personnes est exigé pour les messages commerciaux destinés à des particuliers (« B to C »). Un consentement libre, spécifique et informé. Ainsi par exemple : le recueil du consentement ne saurait être subordonné à l’acception des conditions générales de vente. les cases « pré-cochées » qui permettent de présumer du consentement de la personne ne sont pas admises. Le recueil du consentement peut être effectué selon les modèles fournis par les codes de déontologie du SNCD et de l’UFMD qui prévoient que le consentement peut être obtenu par le biais d’une case à cocher sur chaque formulaire de collecte, ce qui constitue une préconisation constante de la CNIL. du SNCD l’UFMD Le droit de s’opposer préalablement et gratuitement à une utilisation à des fins de prospection de son adresse de courrier électronique doit être prévu.

41 Dans le cas d’une relation client- entreprise existante : Dérogation au principe du consentement préalable lorsque le particulier a déjà été contacté, à l’occasion d’une vente ou d’une prestation de service, par l’organisme souhaitant le démarcher. Ainsi, si une personne a acheté un produit auprès d’une entreprise, celle-ci pourra lui adresser des messages commerciaux pour assurer la promotion de ses produits, à la condition toutefois que ceux-ci soient analogues à celui qu’il avait antérieurement acheté auprès d’elle. De plus, l’entreprise doit lui offrir la possibilité, au moment de sa commande, de s’opposer gratuitement et de manière simple à recevoir de la publicité de sa part.

42 Le cas d’une prospection par courrier électronique dans le cadre professionnel (« B to B ») Il n’est pas nécessaire d’obtenir l’accord du destinataire lorsque : l’adresse électronique est de type générique, ex : l’adresse électronique nominative est professionnelle ex : à la double condition que : – le professionnel a été informé lorsqu’il a communiqué son adresse électronique de la possibilité de s’opposer gratuitement à toute utilisation commerciale de ses coordonnées, – l’objet de la sollicitation soit en rapport avec les fonctions exercées à titre professionnel par le destinataire du message

43 Autres prospections Dans le cas d’une prospection autre que de nature commerciale comme par exemple la prospection à caractère politique, associative, religieuse ou caritative (ex. : collecte de dons), – la personne concernée doit avoir été préalablement informée de l’utilisation de son adresse à de telles fins et avoir été mis en mesure de s’opposer à cette utilisation. – Dans tous ces cas de figure, la CNIL recommande que le droit d’opposition puisse s’exercer directement à partir du formulaire de collecte par l’apposition d’une case à cocher.

44 4.6. Seconde application pratique : la cyber surveillance du salarié Pour mémoire : Droit du travail et NTIC – des spécificités : – Clauses spécifiques dans le contrat de travail concernant les informaticiens – Ex. clause de non-concurrence qui connait certaines limites (durée, périmètre, secteur précis) – Modification du contrat de travail du fait de l’informatique (relation collective et individuelle) Travail à l’écran… Télétravail La question de la cyber surveillance – L’employeur a le droit de contrôler et de surveiller l’activité de son personnel – Mais ….

45 Pour aller plus loin : le guide de la CNIL Fiche n° 1 – Les opérations de recrutement page 8 Fiche n° 2 – Les annuaires du personnel page 12 Fiche n° 3 – L’accès au dossier professionnel page 13 Fiche n° 4 – La gestion des œuvres sociales et culturelles page 14 Fiche n° 5 – Les transferts internationaux de données page 16 Fiche n° 6 – Contrôle de l’utilisation d’internet et de la messagerie page 18 Fiche n° 7 – Les administrateurs réseau page 23 Fiche n° 8 – La vidéosurveillance sur les lieux de travail page 25 Fiche n° 9 – La gestion de la téléphonie page 28 Fiche n° 10 – Les dispositifs de géolocalisation gsm/gps page 32 Fiche n° 11 – L’utilisation de badges sur le lieu de travail page 34 Fiche n° 12 – La biométrie sur le lieu de travail page 35

46 Article L du Code du travail Principe de transparence : Aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n'a pas été porté préalablement à sa connaissance. D’où l’importance des chartes informatiques en entreprise Pour un exemple qui date un peu RenaultRenault

47 Article L du Code du travail Principe de proportionnalité Nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.

48 Sous quelles conditions accéder aux messages électroniques d’un salarié ? Des courriels sont présumés professionnels à moins d’être identifiés «personnels». La Cour de cassation considère qu’un message envoyé ou reçu depuis le poste de travail mis à disposition par l’employeur est présumé avoir un caractère professionnel, sauf s’il est identifié comme étant « personnel », dans l’objet du message par exemple (Cour de cassation, 30 mai 2007). Il appartient à l’employé d’identifier les messages qui sont personnels. À défaut d’une telle identification, les messages sont présumés être professionnels et l’employeur peut y accéder librement. La nature personnelle d’un message peut figurer dans l’objet du message ou dans le nom du répertoire dans lequel il est stocké.

49 Fichier personnel Si un fichier est identifié comme étant personnel, l’employeur ne peut y avoir accès – « qu’en présence du salarié ou si celui-ci a été dûment appelé, – ou « en cas de risque ou événement particulier ». Le salarié ne peut pas s’opposer à un tel accès si ces conditions ont été respectées. Par exemple : il a été jugé que la découverte de photos érotiques dans le tiroir d’un salarié ne constituait pas un risque ou un événement particulier justifiant que l’employeur accède au répertoire intitulé « perso » hors la présence du salarié ou sans que celui-ci en soit informé (Cour de cassation, chambre sociale, arrêt du 17 mai 2005).

50 La nécessité d’informer les salariés Les employés doivent être informés des dispositifs mis en place et des modalités de contrôle de leur utilisation d’internet, de leur messagerie et de leurs dossiers enregistrés sur les serveurs. Ils doivent être informés individuellement, notamment de la finalité du dispositif de contrôle et de la durée pendant laquelle les données de connexion sont conservées ou sauvegardées. L’information des personnes sur les points listés ci-dessous peut se faire par le biais de la diffusion d’une charte d’utilisation des réseaux. Une durée de conservation de l’ordre de six mois est suffisante, dans la plupart des cas, pour dissuader tout usage abusif d’internet. En cas d’archivage automatique des messages électroniques, les salariés doivent en outre être informés des modalités de l’archivage, de la durée de conservation des messages, et des modalités d’exercice de leur droit d’accès. Si des procédures disciplinaires sont susceptibles d’être engagées sur la base de ces fichiers, les salariés doivent en être explicitement informés. Le comité d’entreprise doit avoir été consulté et informé (article L du code du travail), ou, dans la fonction publique, le comité technique paritaire ou toute instance équivalente.

51 Le contrôle de l’utilisation d’internet L’employeur peut fixer les conditions et limites de l’utilisation d’internet, lesquelles ne constituent pas, en soi, des atteintes à la vie privée des salariés. Par exemple : – L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionniste, etc.). – Il peut également fixer des limites dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le « chat », l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc.

52 Comment déclarer? Lorsque l’entreprise ou l’administration met en place un dispositif de contrôle individuel des salariés destiné à produire un relevé des connexions ou des sites visités, poste par poste, le traitement ainsi mis en œuvre doit être déclaré à la CNIL (déclaration normale) sauf si un correspondant informatique et libertés a été désigné, auquel cas aucune déclaration n’est nécessaire. Par exemple : logiciel de contrôle de l’utilisation d’internet permettant d’analyser les données de connexion de chaque salarié ou de calculer le temps passé sur internet par un salarié déterminé. permet pas de contrôler individuellement l’activité des salariés Lorsque l’entreprise ou l’administration met en place un dispositif qui ne permet pas de contrôler individuellement l’activité des salariés, ce dispositif peut faire l’objet d’une déclaration de conformité en référence à la norme simplifiée n° 46 (gestion des personnels des organismes publics et privés). Par exemple : logiciel permettant seulement de réaliser des statistiques sur l’utilisation d’internet au niveau de l’ensemble des salariés de l’entreprise ou au niveau d’un service déterminé.

53 Fin module 4


Télécharger ppt "Module 4 La protection des données personnelles. « Quand c’est gratuit, c’est vous le produit » Facebook, Twitter, Google… La loi informatique et libertés."

Présentations similaires


Annonces Google