Archives du mot-clé CNIL

Usage personnel des NTIC sur le lieu de travail : que peut faire l’entreprise ?

ordinateur5« Mails, téléphone mobiles : une utilisation personnelle de ces outils sur le lieu de travail est tolérée si elle reste raisonnable et n’affecte pas la sécurité des réseaux ou la productivité. Mais c’est à l’employeur de fixer les contours de cette tolérance et d’en informer ses employés ».

Lire la suite de l’interview de Maître LAILLER dans Focus RH , Actualité et Evolution des Ressources humaines.

Version imprimable de cet article

Protection des données personnelles au travail : la CNIL précise quelles sont les bonnes pratiques

oeil4La CNIL (Commission nationale de l’informatique et des libertés) vient de publier quatre  fiches pratiques destinées à accompagner les salariés et les employeurs dans leur gestion des données personnelles au travail:

Le recrutement et la gestion du personnel

La géolocalisation des véhicules des salariés

Les outils informatiques au travail

L’accès aux locaux et le contrôle des horaires

La vidéosurveillance sur les lieux de travail

Quel cadre légal ? Quels droits ? Quelles obligations ?

Ces fiches  pratiques répondent aux questions que peuvent se poser tant les salariés que les employeurs.

Voir également l‘article du blog sur la vidéosurveillance.

Version imprimable de cet article

Vidéosurveillance : la CNIL précise les règles à respecter

caméra1La CNIL vient de préciser  les règles qu’il convient de respecter pour que les systèmes de vidéosurveillance et de vidéo protection soient respectueux de la vie privée.

Elle définit le cadre légal et répond notamment aux interrogations suivantes :

– où installer et ne pas installer les caméras ?

– combien de temps conserver les images ?

– qui doit être informé ?

– quelles déclarations doivent être effectuées ?

 

Six fiches pratiques sont mises en ligne sur les thèmes suivants :

vidéo protection sur la voie publique

vidéosurveillance au travail

vidéosurveillance dans les établissements scolaires

caméras dans les commerces

vidéosurveillance dans les immeubles d’habitation

vidéosurveillance chez soi.

 

Il est possible de consulter ces informations ici.

Version imprimable de cet article

L’affaire IKEA révélée par le Canard Enchaîné pose le problème de la consultation par un employeur de fichiers détenus par les services de police

fichier

Dans son édition du 29 février 2012, le Canard Enchaîné a révélé une pratique  qui, si elle était confirmée, est illégale.

Les faits :

Selon le Canard Enchaîné, la Direction Risque d’Ikea aurait passé un accord en 2003 avec des enquêteurs privés ; ces derniers auraient fourni des informations issues du fichier STIC (Système de traitement des infractions constatées) concernant certains salariés. Les demandes de renseignements  formulées par cette direction se chiffreraient en centaines.

IKEA aurait ainsi obtenu des informations sur les antécédents judiciaires ou policiers de salariés (voire même de clients avec lesquels IKEA était en litige), sur leurs comptes bancaires ou sur leurs véhicules (informations provenant de fichiers carte grise ou permis de conduire).

IKEA aurait suspendu le Directeur concerné et lancé une enquête interne, précisant dans un communiqué prendre ces accusations « très au sérieux ».

Ce matin, l’agence de presse REUTERS annonçait qu’une plainte allait être déposée par plusieurs salariés qui envisagent de créer une « association de défense des victimes d’IKEA ».

 

  • Une pratique illégale :

Selon REUTERS, la consultation des fichiers détenus par la police est une pratique frauduleuse utilisée parfois par des policiers pour obtenir des rémunérations supplémentaires à titre privé. Elle serait connue sous le surnom de « tricoche ».

 

  • Un employeur peut –il avoir accès à des informations des fichiers STIC et JUDEX :

Le STIC (Système de Traitement des Infractions Constatées) répertorie des informations provenant des comptes rendus d’enquêtes effectuées après l’ouverture d’une procédure pénale. Il recense les personnes mises en cause dans ces procédures et les victimes d’infractions constatées. Il existe par ailleurs un fichier JUDEX (système JUdiciaire de la  Documentation et D’Exploitation) tenu par la Gendarmerie nationale.

Le STIC et le JUDEX n’ont rien à voir avec le casier judiciaire qui répertorie les condamnations pénales.

Seules des personnes habilitées peuvent consulter le STIC et le JUDEX :  les personnes individuellement désignées et spécialement habilitées des services de police, de gendarmerie ou les agents des douanes, les magistrats du parquet et les magistrats instructeurs, certaines personnes investies de missions de police administratives.

Depuis la loi du 15 novembre 2001 relative à la sécurité quotidienne, le STIC et le JUDEX peuvent également être consultés dans le cadre d’une enquête administrative préalable au  recrutement, à l’agrément ou à l’habilitation d’emplois déterminés :

–          les emplois publics participant à l’exercice des missions de souveraineté de l’Etat ;

–          les emplois publics ou privés relevant du domaine de la sécurité ou de la défense ;

–          les emplois privés ou activités privées réglementées relevant des domaines des jeux, paris et courses ;

–          les missions concernant des zones protégées en raison des activités qui s’y exercent ;

–          les missions concernant les matériels, produits ou activités présentant un danger pour la sécurité publique.

L’employeur n’a pas un accès direct à ces fichiers : il doit demander au Préfet d’effectuer cette diligence dans le cadre d’une enquête administrative

Selon la CNIL, plus d’un million d’emplois seraient concernés et cela exige, selon elle, une vigilance particulière quant à l’exactitude des données qui y figurent car être fiché dans le STIC ou le JUDEX peut avoir des conséquences importantes telle la perte de l’emploi ou le refus d’un recrutement.

Rappelons que les citoyens peuvent accéder aux informations qui les concernent dans les fichiers STIC et JUDEX, par l’intermédiaire de la CNIL, si par exemple un agrément leur a été refusé dans le domaine de la sécurité et qu’ils souhaitent faire procéder à des rectifications ou des suppressions de mentions dans ces fichiers (pour exercer son droit d’accès, cliquer ici).

 

  • Les fichiers ne doivent pas être détournés de leur finalité

Beaucoup d’informations concernant les citoyens et par conséquent les salariés ou candidats à l’embauche sont fichées : outre le STIC et le JUDEX, il y a également le fichier Cartes grises ou celui du permis de conduire, ainsi que les fichiers gérés par la Banque de France : le Fichier des Incidents de remboursement des Crédits aux Particuliers (FICP) ou le Fichier Central des Chèques (FCC).

En 2011, la CNIL  a été amenée à contrôler différents établissements bancaires qui, avant de recruter des salariés, interrogeaient les fichiers FICP et FCC afin de vérifier si les candidats n’étaient pas en situation de surendettement ou d’interdiction bancaire, information qui pouvait les amener à rejeter leur candidature.

Selon la CNIL, l’utilisation qui était faite de ces fichiers par les établissements bancaires  pouvait constituer un détournement de leur finalité.

 

  • Les dérives dénoncées dans l’affaire IKEA sont-elles nouvelles ?

Un rapport de la CNIL sur le STIC remis au Premier ministre le 20 janvier 2009  relevait la nécessité de mettre en place des mesures techniques afin de pouvoir révéler d’éventuelles pratiques frauduleuses et d’en identifier les auteurs (cette enquête était préalable à la mise en œuvre du fichier ARIANE qui devait se substituer aux fichiers STIC et JUDEX).

La CNIL pointait notamment du droit les défauts de traçabilité qui « peuvent faciliter des dérives (certaines récentes affaires ont  illustré des cas d’utilisation du STIC en dehors du cadre légal) et rendre complexe l’établissement de la preuve ».

Trois ans après la remise de ce rapport, l’affaire IKEA relance le débat sur la nécessité de sécuriser l’accès à ces fichiers afin d’éviter qu’ils ne soient détournés de leur finalité.

Version imprimable de cet article

 

Vidéosurveillance : un système « particulièrement intrusif » mis en place par la société OCEATECH EQUIPEMENT fait réagir la CNIL

caméra1La CNIL a décidé de rendre publique la mise en demeure adressée à la société OCEATECH EQUIPEMENT concernant un dispositif de vidéosurveillance.

Cette initiative de la CNIL est justifiée, selon ses propres termes, par « la nature et la gravité des manquements commis » (cf décision).

Les faits :

La société OCEATECH EQUIPEMENT fournit du matériel et des applications aux professionnels de santé. Elle emploie 8 salariés. L’un d’entre eux porte plainte auprès de la CNIL estimant que la vidéosurveillance dont il fait l’objet est illégale.

La CNIL procède à des contrôles sur place et constate qu’il existe 8 caméras, chacune équipée d’un microphone permettant l’écoute sonore et un haut parleur.

  • Sept caméras filment des lieux non-ouverts au public : quatre filment l’entrée, l’atelier et un bureau, une caméra filme la salle de réunion qui fait également fonction de réfectoire, une caméra filme le couloir qui dessert les bureaux, une caméra filme la cuisine.
  • Une caméra filme des lieux ouverts au public : le chemin privé qui dessert la société et d’autres entreprises.

La CNIL relève que les caméras sont situées au-dessus des espaces de travail des employés et permettent de « visualiser, en permanence, aussi bien les écrans des ordinateurs des employés que les employés eux-mêmes et d’écouter le son ».

Elle en conclut que le dispositif mis en œuvre conduit à placer les salariés sous la surveillance constante et permanente de leur employeur, en contravention avec l’article L.1121-1 du code du travail (« nul ne peut apporter aux droits des personnes et aux libertés individuelles et collectives de restrictions qui ne seraient pas justifiées par la nature de la tâche à accomplir ni proportionnée au but recherché »).

Le gérant peut accéder en temps réel aux images par un serveur et une connexion permet de visualiser les images à distance.

Les enregistrements peuvent être déclenchés manuellement ; ils sont également programmés pour se déclencher sur détection de mouvement, la nuit et le week-end.

La CNIL a constaté que la durée de conservation des enregistrements déclarée (un mois) n’était pas respectée, ce qui est susceptible de constituer une infraction pénale (l’article L.226-60 du code pénal punit de 5 ans d’emprisonnement et de 300 000 euros d’amende le fait de conserver des données à caractère personnel au-delà de la durée prévue par la loi ou le règlement (…).

La finalité du dispositif n’est pas respectée : la déclaration faite à la CNIL mentionne qu’il s’agit de la « sécurité des biens et des personnes ». Or, il est avéré que les données sont collectées pour des finalités autres. Ainsi, la CNIL a relevé que suite à un litige opposant deux salariés entre eux, l’employeur leur a adressé un courrier précisant : « afin de déterminer les responsabilités de chacun, un système d’enregistrement audio et vidéo sera mis en place prochainement ».

Ceci est également susceptible de constituer une infraction à l’article 226-21 du code pénal punissable de 5 ans d’emprisonnement et de 300 000 euros d’amende (détournement d’informations collectées de leur finalité, telle qu’elle a été définie par la déclaration préalable faite auprès de la CNIL).

En outre, la société n’a pas demandé ni obtenu d’autorisation préfectorale préalablement à la mise en œuvre du dispositif;  elle n’a pas non plus respecté les mentions exigées par l’article 32 de la loi du 6 janvier 1978, notamment les droits d’opposition, d’accès et de rectification.

En conséquence des faits constatés, la CNIL a mis en demeure la société OCEATECH EQUIPEMENT, sous un délai de 6 semaines, de :

  • Veiller à ce que le dispositif soit strictement limité à la finalité annoncée (sécurité des biens et des personnes) ;
  • Ne plus placer les salariés sous une surveillance constante et permanente ;
  • Mettre en place une purge automatisée des enregistrements ;
  • Modifier les panneaux d’informations, compléter le règlement intérieur et les contrats de travail ;
  • Justifier de ces mesures auprès de la CNIL dans les 6 semaines.
  • Demander à la préfecture l’autorisation de mettre en place un dispositif de vidéoprotection sauf à supprimer la caméra orientée vers l’extérieur.

La CNIL rappelle que cette mise en demeure n’est pas une sanction. Mais dans l’hypothèse où ces demandes ne seraient pas suivies d’effet, la CNIL précise que des sanctions pourront être prises et que le représentant de l’Etat pourra être requis d’ordonner la suspension ou la suppression du système de vidéoprotection. En revanche, si la société se conforme à la loi dans le délai imparti, la CNIL précise que la clôture de la procédure fera également l’objet d’une publicité.

Voir la décision complète de la CNIL du 16 décembre 2011.

Version imprimable de cet article