Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Les nouvelles obligations de l’employeur après la réforme de la Loi Informatique et Libertés

Publié le par

La loi n°2004-182 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel vient modifier la loi de 1978 relative à l’informatique, aux fichiers et aux libertés, opérant ainsi une transposition attendue depuis plusieurs années de la directive européenne 95/46/CE du 24 octobre 1995. Cette…

La loi n°2004-182 du 6 août 2004 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel vient modifier la loi de 1978 relative à l’informatique, aux fichiers et aux libertés, opérant ainsi une transposition attendue depuis plusieurs années de la directive européenne 95/46/CE du 24 octobre 1995. Cette réforme entérinée par le Conseil constitutionnel a pour objectif principal d’adapter la protection des données personnelles à l’évolution technologique et de renforcer ainsi la protection des données recueillies par les systèmes automatisés.</p

  • Depuis quelques mois, l’informatique occupe une place importante au cœur de l’actualité des ressources humaines. La loi du 6 août 2004 confirme cette tendance en apportant des modifications quant aux obligations de l’employeur pris en sa qualité de responsable de traitements automatisés de données à caractère personnel. </p
  • Loi d’équilibre, cette évolution législative réclame néanmoins la vigilance les chefs d’entreprise. En effet, si cette réforme répond aux demandes de simplification de certaines procédures, elle renforce en contrepartie la protection des données à caractère personnel en élargissant son champs d’application, alourdissant les sanctions et en accroissant les pouvoirs de la CNIL. </p
  • 1. La loi du 6 août 2004 : un renforcement de la protection des données à caractère personnel</p
    1. </p
  • Elargissement du champ d’application de la loi</p
  • La loi du 6 août 2004 opère principalement une extension de la protection qui avait été initialement organisée par la loi 1978. Elle retient ainsi une définition beaucoup plus large des données protégées. Ce ne sont plus seulement les données « nominatives » qui sont aujourd’hui concernées, mais plus généralement les « données à caractère personnel », c’est à dire « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou un ou plusieurs éléments qui lui sont propres » (art.2 de Loi n° 78-17 du 6 janvier 1978 modifiée ).</p
  • Se trouvent ainsi soumis aux obligations légales des systèmes automatisés tels que les moteurs de recherche, logiciels de reconnaissance d’adresses I.P., de reconnaissance vocale ou morphologique. La réforme prend ainsi en compte le recours de plus en plus fréquent par les employeurs à des technologies utilisant des données biométriques. A cet égard, la CNIL, dans une délibération du 8 avril 2004, s’était déjà montrée favorable à l’identification des salariés par empreintes digitales sur le lieu de travail à la condition que le gabarit de cette empreinte ne soit stocké que sur un support personnel tel une carte à puce. Le développement constaté des technologies d’identification est aujourd’hui soumis aux règles organisées par la loi du 6 août 2004.</p
  • Cette réforme renforce également la protection des données à caractère personnel en encadrant les transferts de données vers des pays tiers n’appartenant pas à la Communauté européenne. En effet, le transfert n’est possible que si le pays d’accueil assure un niveau de protection suffisant de la vie privée et des libertés et des droits fondamentaux. Cependant, l’obstacle constitué par une interdiction du transfert peut être évitée sous certaines conditions ou suite à une consultation de la CNIL.</p
  • Accroissement des pouvoirs de la CNIL et renforcement des sanctions</p
  • La loi du 6 août 2004 a également pour objectif d’assurer l’effectivité de ses dispositions en élargissant les pouvoirs de la CNIL dans son rôle d’investigation, mais aussi en alourdissant les peines encourues par les contrevenants.</p
  • C’est ainsi que les membres de l’autorité administrative indépendante se voient reconnaître pour l’exercice de leur mission, un droit d’accès de 6 heures à 21 heures aux lieux, locaux, enceintes, installations ou établissements servant à la mise en œuvre d’un traitement de données à caractère personnel et qui sont à usage professionnel. En cas d’opposition du responsable des lieux, la visite peut être autorisée et contrôlée par le président du tribunal de grande instance ou l’un de ses délégués. </p
  • Lors de ces interventions, les membres de la CNIL peuvent demander communication de tous les documents nécessaire à leur mission, quel qu’en soit le support, accéder aux programmes informatiques et aux données, ainsi qu’en demander les transcriptions. </p
  • En outre, la CNIL peut désormais adresser des mise en demeure aux employeurs responsables de traitements afin de faire cesser un manquement constaté. En cas de résistance, elle possède la faculté, après une procédure contradictoire, de prononcer une injonction, un retrait de son autorisation, voir même une sanction pécuniaire pouvant atteindre les 150.000 euros, et 300.000 euros en cas de récidive (dans la limite de 5% du chiffre d’affaires hors taxes du dernier exercice clos). Enfin, en cas d’urgence, la CNIL peut décider une interruption du système ou un verrouillage de certaines données pour une durée maximale de 3 mois.</p
  • Les sanctions pénales sont également plus lourdes. La répression de la non-déclaration d’un système de traitement de données à caractère personnel augmente ainsi de 3 à 5 ans d’emprisonnement, et de 45.000 à 300.000 euros d’amende (art. 226-16 à 226-24 du Code pénal). Au-delà d’une sévérité accrue dans les peines encourues, la loi du 6 août 2004 créé un nouveau délit d’entrave aux investigations de la CNIL puni d’un an d’emprisonnement et de 15.000 euros d’amende.

    </p

     

  • Les conséquences de la réforme pour les entreprises</p
    1. </p
  • L’ allègement de certaines procédures de déclaration ne dispensent pas l’employeur de ses obligations essentielles</p
  • La réforme du 6 août 2004 répond en partie aux demandes de simplification de déclaration réclamées régulièrement par les entreprises. Certaines dispositions permettent ainsi un allégement des démarches à effectuer pour la mise en place d’un système de traitement de données à caractère personnel. </p
  • La dispense de déclaration est prévue pour les traitements ayant pour seul objet la tenue d’un registre qui, en vertu des dispositions légales et réglementaires, est destiné exclusivement à l’information du public et est ouvert à la consultation de celui-ci ou de toute personne justifiant d’un intérêt personnel (art. 22 II de la loi). l’absence de déclaration peut également être liée à la présence dans l’entreprise d’un délégué à la protection des données personnelle ou résulter d’une décision de la CNIL.

    Sont actuellement dispensés de la déclaration préalable à la CNIL les fichiers standardisés de gestion des opérations de paie jadis soumis au respect de la norme simplifiée n°28 ou 36 (délibération du 10 juin 2004). De même, plus aucune formalité n’est requise pour les déclarations sociales et fiscales obligatoires, ou encore pour la tenue informatisée des registres obligatoires (tel le registre du personnel). </p

  • Dans le soucis de simplification des procédures auprès de la CNIL, un certain nombre de traitements relèvent du régime de la déclaration simplifiée. Il s’agit notamment des systèmes d’autocommutateur téléphonique (norme simplifiée n° 40 si le système occulte les 4 derniers chiffres en cas de diffusion de listing, que les données sont supprimées au terme d’un délai de 6 mois et que les salariés bénéficiant d’une protection soient déconnectés); des contrôles d’accès par badges (norme simplifiée n°42); de la gestion des fichiers clients (norme simplifiée n°11) ou fournisseurs (norme simplifiée n°14). </p
  • En dehors de ces traitements spécifiques, les autres fichiers nécessaires à la gestion des ressources humaines doivent faire l’objet d’une déclaration ordinaire réclamant un certain nombre de renseignements (identité du responsable, finalité du traitement, durée de conservation des données, droit d’accès,…etc.). </p
  • Il est important d’attirer l’attention sur la possibilité offerte aux entreprises par la loi du 6 août 2004 de procéder à une déclaration unique pour plusieurs traitements relevant du même organisme et ayant des finalités identiques ou liées entre elles (art. 23 II de la loi). Ainsi, l’installation de logiciels procédant de la même structure de gestion et utilisant des données identiques ne nécessite plus qu’une seule déclaration.</p
  • Bien que la loi du 6 août 2004 allège un certain nombre de procédures de déclaration, cette simplification ne doit pas faire perdre de vue à l’employeur ses obligations essentielles en tant que responsable de traitement (principe de loyauté et d’exactitude dans la collecte de données, principe de proportionnalité, respect du droit d’opposition,…etc .)</p
  • A ce titre, il faut attirer l’attention sur le respect impératif des finalités du système. Rappelons la condamnation récente par les juridictions pénales de deux agents EDF qui avaient utilisé des relevés de calcul de droits à la retraite de la Caisse nationale d’assurance vieillesse des travailleurs salariés, aux fins de prouver devant la juridiction prud’homale la faute d’une employée constituée par la violation d’une disposition du règlement intérieur de l’entreprise lui interdisant toute activité extérieure pendant ses congés. En détournant la finalité d’un traitement automatisé, ces deux salariés ont été condamnés respectivement à 6.800 et 4.500 euros d’amende (CA Versailles, 3 mars 2003). </p
  • Cette affaire est une illustration de l’importance du respect des obligations incombant à l’employeur. La chambre sociale, dans un arrêt du 6 avril 2004, a rappelé les conséquences d’une absence de déclaration à la CNIL d’un traitement automatisé de données à caractère personnel. En l’espèce, une société avait licencié un salarié qui avait refusé à de nombreuses reprises d’utiliser son badge à la sortie de l’entreprise alors que ce système permettait la gestion des temps de travail et de la sécurité dans l’enceinte. Bien que l’employeur ait informé les salarié de l’existence d’un tel système par le biais du règlement intérieur, la Cour de cassation a considéré que l’absence de déclaration à la CNIL du système de badgeage interdisait à l’entreprise de retenir la faute du salarié refusant de déférer à cette exigence de son employeur. La licenciement du salarié a donc été considéré comme dépourvu de cause réelle et sérieuse.</p
  • Cet arrêt appelle donc les employeurs à une certaine prudence en vérifiant la conformité de leur système de traitement de données à caractère personnel aux exigences légales. L’importance croissante de l’informatique, du réseau et d’internet dans les entreprises.</p
  • Les nouveaux interlocuteurs de l’employeur</p
  • Grande innovation de la loi du 6 août 2004 : la création inspirée de nos voisins européens d’un correspondant à la protection des données en entreprise. Ce nouvel interlocuteur disposant de qualifications techniques et juridiques représentera son employeur auprès de la CNIL et dispensera alors sa société de la plupart des déclarations (exception faite des traitements sensibles soumis à autorisation ou des transferts de données vers des pays hors de l’UE). Il reste pour l’instant à connaître les caractéristiques précis de ce correspondant qui seront fixés par le décret d’application en cours d’élaboration. </p
  • Cette création de la loi du 6 août 2004 s’inscrit dans un tendance à renvoyer la question de l’utilisation de l‘outil informatique à un dialogue au sein même de l’entreprise. Le code du travail prévoie déjà la consultation obligatoire du comité d’entreprise en matière technologique (article L.432-2-1). La loi du 4 mai 2004 sur le dialogue social participe aussi de cette évolution en prévoyant que l’utilisation de l’intranet par les organisations syndicales relève de la négociation d’entreprise.</p
  • Si la réforme de la loi de 1978 relative à l’informatique, aux fichiers, et aux libertés simplifie le système de déclaration de la CNIL, l’employeur voit tout de même ses obligations étendues. Une vigilance particulière doit être apportée par les services des ressources humaines à l’utilisation des données à caractère personnel sous peine de se voir condamner à de lourdes amendes ou voir ses mesures de gestion remises en cause.
Droit & Technologies

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK