La Loi 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés a instauré une CNIL – Commission nationale de l’informatique et des libertés.
La Commission nationale de l’informatique et des libertés est une autorité administrative indépendante qui veille au respect de la législation en matière d’informatique.
Ces dispositions s’appliquent dans tous les domaines de la vie, y compris en matière du droit du travail des salariés et des obligations relatives aux employeurs.
Dispositions législatives
Les principaux textes qui déterminent la Commission nationale de l’informatique et des libertés sont :
– Loi 78-17 du 6 janvier 1978 – articles 11 et suivants – relative à l’informatique, aux fichiers et aux libertés
– Décret 99-487 du 11 juin 1999 relatif aux indemnités susceptibles d’être allouées aux membres de la CNIL et aux personnes qui lui prêtent leur concours
– Arrêté du 11 juin 1999 fixant les taux des indemnités susceptibles d’être allouées aux membres de la CNIL
– Décret 2005-1309 du 20 octobre 2005 pris pour l’application de la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
– Délibération 2013-175 de la CNIL du 4 juillet 2013 sur le règlement intérieur de la commission nationale de l’informatique et des libertés
– Articles 226-16 à 24 du Code Pénal sur les sanctions pour des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques
– Article L1121-1 du Code du Travail précisant que nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnées au but recherché.
– Article L1222-4 du Code du Travail indiquant qu’aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance
– Article L2323-32 du Code du Travail précisant que le comité d’entreprise doit être informé et consulté, préalablement à la décision de mise en œuvre dans l’entreprise, sur les moyens ou les techniques permettant un contrôle de l’activité des salariés
– Délibération 2014-474 de la CNIL – Commission Nationale de l’Informatique et des Libertés – du 6 janvier 2015 portant adoption de la norme simplifiée n°57 (NS57) relative aux traitements de données à caractère personnel relatifs aux écoutes et enregistrements téléphoniques sur le lieu de travail
– Décret 2015-125 du 5 février 2015 relatif au blocage des sites provoquant à des actes de terrorisme ou en faisant l’apologie et des sites diffusant des images et représentations de mineurs à caractère pornographique
Délibération et jurisprudence
– Délibération 2006-066 du 16 mars 2006 portant adoption d’une recommandation relative à la mise en œuvre de dispositifs destinés à géolocaliser les véhicules automobiles utilisés par les employés d’un organisme privé ou public.
– Arrêt N°10-18036 de la Cour de Cassation du 3 novembre 2011 précisant les règles d’utilisation d’un GPS par un employeur pour contrôler le temps de travail des salariés de droit privé. Ainsi, un système de géolocalisation GPS ne peut pas être utilisé par l’employeur pour d’autres finalités que celles qui ont été déclarées auprès de la CNIL – Commission nationale de l’informatique et des libertés, et portées à la connaissance des salariés.
– Arrêt N°10-23482 de la Cour de Cassation du 10 janvier 2012 indiquant qu’un employeur qui utilise la vidéosurveillance pour contrôler ses salariés doit les prévenir préalablement.
– Délibération 2012-475 du 3 janvier 2013 de la CNIL confirmant sa position sur la vidéosurveillance des salariés d’une entreprise en interdisant de surveiller en permanence des salariés sur leurs lieux de travail sauf circonstances particulières
– Note de la CNIL du 20 mars 2013 indiquant que l’usage d’un logiciel de surveillance « keylogger » sur les ordinateurs professionnels des salariés au travail est illicite
– Décision N°2013-029 du 12 juillet 2013 adressant une mise en demeure publique à l’encontre de la société SAS BRESSE DIS qui exploitait un centre commercial sous l’enseigne E. LECLERC pour une utilisation abusive et disproportionnée d’un système de vidéosurveillance à l’encontre de ses salariés
– Décision de la CNIL du 25 septembre 2013 mettant en demeure un centre hospitalier pour non respect de la confidentialité des données de santé des patients
– Délibération 2014-307 du 17 juillet 2014 de la CNIL prononçant une sanction pécuniaire de 5000 € à l’encontre d’une entreprise pour différents manquements à la loi ” Informatique et Libertés ” concernant principalement son dispositif de vidéosurveillance et notamment pour atteinte à la vie privée des salariés concernés
– Arrêt N°13-85587 de la Cour de Cassation du 8 septembre 2015 indiquant que, conformément à l’article 226-16 du Code pénal, tout traitement de données à caractère personnel réalisé par un employeur doit être déclaré à la CNIL préalablement à sa mise en œuvre. Cette disposition s’applique à la création d’un seul fichier de données personnelles accessible à des tiers même si ce fichier ne concerne qu’une seule personne, sans qu’il soit besoin d’atteindre un certain seuil de données traitées.
– Arrêt N°14-87753 de la Cour de Cassation du 9 février 2016 considérant qu’une organisation syndicale dispose d’un intérêt à agir à l’encontre d’une société pour obtenir réparation du préjudice éventuellement subi par la partie civile du fait du délit d’omission de déclaration auprès de la CNIL d’un système de vidéosurveillance.
L’informatique et les libertés
L’informatique doit être au service de chaque citoyen.
Son développement doit s’opérer dans le cadre de la coopération internationale et elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
Ainsi, constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres
Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction.
Constitue un fichier de données à caractère personnel tout ensemble structuré et stable de données à caractère personnel accessibles selon des critères déterminés.
Les conditions de licéité des traitements de données à caractère personnel
Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
– les données sont collectées et traitées de manière loyale et licite
– elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités
– elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs
– elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées
– elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
De plus, un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
– Le respect d’une obligation légale incombant au responsable du traitement
– La sauvegarde de la vie de la personne concernée
– L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement
– L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci
– La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
Les missions de la CNIL
La CNIL exerce les missions suivantes :
– Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations
– Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la législation
A ce titre :
– Elle donne un avis sur les traitements et reçoit les déclarations relatives aux autres traitements
– Elle établit et publie les normes et édicte, le cas échéant, des règlements types en vue d’assurer la sécurité des systèmes
– Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci
– Elle répond aux demandes d’avis des pouvoirs publics et, le cas échéant, des juridictions, et conseille les personnes et organismes qui mettent en œuvre ou envisagent de mettre en œuvre des traitements automatisés de données à caractère personnel
– Elle informe sans délai le procureur de la République des infractions dont elle a connaissance, et peut présenter des observations dans les procédures pénales
– Elle peut, par décision particulière, charger un ou plusieurs de ses membres ou le secrétaire général, de procéder ou de faire procéder par les agents de ses services à des vérifications portant sur tous traitements et, le cas échéant, d’obtenir des copies de tous documents ou supports d’information utiles à ses missions ;
– Elle répond aux demandes d’accès concernant certains traitements
A la demande d’organisations professionnelles ou d’institutions regroupant principalement des responsables de traitements :
a) Elle donne un avis sur la conformité aux dispositions de la présente loi des projets de règles professionnelles et des produits et procédures tendant à la protection des personnes à l’égard du traitement de données à caractère personnel, ou à l’anonymisation de ces données, qui lui sont soumis
b) Elle porte une appréciation sur les garanties offertes par des règles professionnelles qu’elle a précédemment reconnues conformes, au regard du respect des droits fondamentaux des personnes
c) Elle délivre un label à des produits ou à des procédures tendant à la protection des personnes à l’égard du traitement des données à caractère personnel
Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés.
A ce titre :
a) Elle est consultée sur tout projet de loi ou de décret relatif à la protection des personnes à l’égard des traitements automatisés
b) Elle propose au Gouvernement les mesures législatives ou réglementaires d’adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques
c) A la demande d’autres autorités administratives indépendantes, elle peut apporter son concours en matière de protection des données
d) Elle peut être associée, à la demande du Premier ministre, à la préparation et à la définition de la position française dans les négociations internationales dans le domaine de la protection des données à caractère personnel. Elle peut participer, à la demande du Premier ministre, à la représentation française dans les organisations internationales et communautaires compétentes en ce domaine
Pour l’accomplissement de ses missions, la commission peut procéder par voie de recommandation et prendre des décisions individuelles ou réglementaires.
La composition de la CNIL
La Commission nationale de l’informatique et des libertés est composée de 17 membres :
– Deux députés et deux sénateurs, désignés respectivement par l’Assemblée nationale et par le Sénat de manière à assurer une représentation pluraliste
– Deux membres du Conseil économique, social et environnemental, élus par cette assemblée
– Deux membres ou anciens membres du Conseil d’État, d’un grade au moins égal à celui de conseiller, élus par l’assemblée générale du Conseil d’État
– Deux membres ou anciens membres de la Cour de cassation, d’un grade au moins égal à celui de conseiller, élus par l’assemblée générale de la Cour de cassation
– Deux membres ou anciens membres de la Cour des comptes, d’un grade au moins égal à celui de conseiller maître, élus par l’assemblée générale de la Cour des comptes
– Trois personnalités qualifiées pour leur connaissance de l’informatique ou des questions touchant aux libertés individuelles, nommées par décret
– Deux personnalités qualifiées pour leur connaissance de l’informatique, désignées respectivement par le Président de l’Assemblée nationale et par le Président du Sénat.
Elle comprend en outre, avec voix consultative, le Défenseur des droits ou son représentant.
Le fonctionnement de la CNIL
La CNIL élit en son sein un président et deux vice-présidents, dont un vice-président délégué qui composent le bureau.
La fonction de président de la commission est incompatible avec toute activité professionnelle, tout autre emploi public et toute détention, directe ou indirecte, d’intérêts dans une entreprise du secteur des communications électroniques ou de l’informatique.
La durée du mandat de président est de 5 ans.
La formation restreinte de la commission est composée d’un président et de cinq autres membres élus par la commission en son sein. Les membres du bureau ne sont pas éligibles à la formation restreinte.
En cas de partage égal des voix, celle du président est prépondérante.
Le mandat des membres de la commission est de 5 ans et il est renouvelable une fois.
La CNIL établit un règlement intérieur qui fixe les règles relatives à l’organisation et au fonctionnement de la commission. Il précise notamment les règles relatives aux délibérations, à l’instruction des dossiers et à leur présentation devant la commission, ainsi que les modalités de mise en œuvre de la procédure de labellisation.
Les formalités préalables à faire à la CNIL
A l’exception de certaines dispositions, les traitements automatisés de données à caractère personnel font l’objet d’une déclaration auprès de la Commission nationale de l’informatique et des libertés.
La déclaration comporte l’engagement que le traitement satisfait aux exigences de la loi. Les traitements relevant d’un même organisme et ayant des finalités identiques ou liées entre elles peuvent faire l’objet d’une déclaration unique.
Toutefois, entres autres, ne sont soumis à aucune des formalités préalables, les traitements pour lesquels le responsable a désigné un correspondant à la protection des données à caractère personnel chargé d’assurer, d’une manière indépendante.
Dans ce cas, la désignation du correspondant est notifiée à la Commission nationale de l’informatique et des libertés et est portée à la connaissance des instances représentatives du personnel.
Les droits des personnes à l’égard des traitements de données à caractère personnel
Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.
Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.
De plus, toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir :
– la confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement
– des informations relatives aux finalités du traitement, aux catégories de données à caractère personnel traitées et aux destinataires ou aux catégories de destinataires auxquels les données sont communiquées
– des informations relatives aux transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne
– la communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci
– Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé.
Les sanctions de la CNIL
La formation restreinte de la CNIL peut prononcer, après une procédure contradictoire, un avertissement à l’égard du responsable d’un traitement qui ne respecte pas les obligations découlant de la présente loi. Cet avertissement a le caractère d’une sanction.
Le président de la commission peut également mettre en demeure ce responsable de faire cesser le manquement constaté dans un délai qu’il fixe. En cas d’urgence, ce délai peut être ramené à 5 jours.
Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure.
Dans le cas contraire, la formation restreinte peut prononcer à son encontre, après une procédure contradictoire, les sanctions suivantes :
– Une sanction pécuniaire à l’exception des cas où le traitement est mis en œuvre par l’État
– Une injonction de cesser le traitement ou un retrait de l’autorisation accordée.
Lorsque la mise en œuvre d’un traitement ou l’exploitation des données traitées entraîne une violation des droits et libertés, la formation restreinte peut, après une procédure contradictoire, engager une procédure d’urgence pour :
1° Décider l’interruption de la mise en œuvre du traitement, pour une durée maximale de trois mois
2° Prononcer un avertissement
3° Décider le verrouillage de certaines des données à caractère personnel traitées, pour une durée maximale de trois mois
Les sanctions pénales de la CNIL
Les articles 226-16 à 24 du Code Pénal déterminent les différentes sanctions pénales pour des atteintes aux droits de la personne résultant des fichiers ou des traitements informatiques.
Ainsi, entre autres, le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de 5 ans d’emprisonnement et de 300.000 euros d’amende.
Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l’objet de l’une des mesures de sanctions de la CNIL.
Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende.
Consulter le site de la CNIL
Pour aller plus loin
© La rédaction – Infosdroits
Bonjour Je partage l'avis de Serge qui est un collègue.
Bonjour, Vous pouvez imprimer nos articles via votre navigateur internet. Toutefois, nous n'autorisons pas la réutilisation de nos articles sur…
document parfait et très intéressant en droit. Félicitations à ses auteurs. Cependant, on n'arrive pas à imprimer ou copier le…