• Home  / 
  • DELIBERATION 02-001

DELIBERATION 02-001

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le code du travail et notamment ses articles : L. 120-2, L. 121-8, L. 143-14, L. 212-1 et suivants, L. 236-3 ; L. 412-17, L. 424-3, L. 432-2- 1, L. 434- 1, L. 611-9, L. 620-2 ;

Vu la loi n° 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires ;

Vu la loi n° 84-16 du 11 janvier 1984 portant dispositions statutaires relatives à la fonction publique de l'Etat ;

Vu la loi n° 84-53 du 16 janvier 1984 portant dispositions statutaires relatives à la fonction publique territoriale ;

Vu la loi n° 86-33 du 9 janvier 1986 portant dispositions statutaires relatives à la fonction publique hospitalière ;

Vu la loi n° 98-461 du 13 juin 1998 d'orientation et d'incitation relative à la réduction du temps de travail ;

Vu le décret n° 78-774 du 17 juillet 1978 pris pour l'application des chapitres Ier à IV et VII de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;

Vu le décret 82-452 du 28 mai 1982 relatif aux comités techniques paritaires ;

Vu le décret 2000-815 du 25 août 2000 relatif à l'aménagement et à la réduction du temps de travail dans la fonction publique de l'Etat ;

Considérant qu'en vertu des articles 6, 17 et 21 (1°) de la loi du 6 janvier 1978 la CNIL est habilitée à édicter, en vertu de son pouvoir réglementaire, des normes simplifiées concernant certains traitements automatisés d'informations nominatives ;

Considérant que pour l'application de l'article 17 susvisé, il faut entendre par norme simplifiée l'ensemble des conditions que doivent remplir certaines catégories les plus courantes de traitements pour être regardées comme ne comportant manifestement pas de risques d'atteinte à la vie privée et aux libertés et comme pouvant dès lors faire l'objet d'une déclaration simplifiée ;

Considérant que tout dispositif qui par un élément quelconque n'est pas strictement conforme aux présentes dispositions doit faire l'objet d'une demande d'avis ou d'une déclaration ordinaire au sens des articles 15 ou 16 de la loi du 6 janvier 1978 ;

Considérant que les traitements informatisés relatifs à la gestion des contrôles d'accès aux locaux des salariés ou des agents publics et des visiteurs, à la gestion des horaires ainsi qu'à la gestion de la restauration sont de ceux qui peuvent, sous certaines conditions, relever de l'article 17 de la loi du 6 janvier 1978 ;

Considérant que les systèmes mis en oeuvre peuvent utiliser la technique des cartes magnétiques ou à puce, avec ou sans contact, ou d'autres dispositifs techniques tels que, par exemple, la frappe de code secret. Les systèmes utilisant une identification biométrique sont exclus de la présente norme.

Décide :

Article 1er

Pour pouvoir faire l'objet de la procédure de déclaration simplifiée de conformité à la présente norme simplifiée, les traitements automatisés d'informations nominatives visés ci-dessus doivent ne porter que sur des données objectives aisément contrôlables grâce à l'exercice du droit individuel d'accès ; ne pas donner lieu à des interconnexions avec d'autres traitements automatisés d'informations nominatives, sauf celles résultant éventuellement de l'article 5, ou à des transmissions autres que celles nécessaires à l'accomplissement des finalités énoncées à l'article 2 ; ne pas comporter d'informations autres que celles énumérées à l'article 3 , satisfaire aux conditions énoncées aux articles 2 à 9 et ne pas mettre en oeuvre de dispositifs recourant à une identification biométrique.

Les traitements mis en oeuvre ne doivent concerner que les entrées et sorties du lieu de travail et ne pas permettre le contrôle des déplacements à l'intérieur du lieu de travail, à l'exception des cas dans lesquels certaines zones identifiées font l'objet d'une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent.

Les traitements mis en oeuvre dans ce cadre n'ont pas pour objet de permettre le contrôle du respect des quotas de facilités en temps accordés aux représentants du personnel.

Article 2 : Finalités du traitement

Le traitement ne doit pas avoir d'autres finalités que :

- le contrôle des accès à l'entrée et dans les locaux limitativement identifiés de l'entreprise ou de l'administration faisant l'objet d'une restriction de circulation ;

- la gestion des horaires et des temps de présence ;

- le contrôle de l'accès au restaurant d'entreprise ou administratif et la gestion de la restauration ainsi que la mise en place d'un système de paiement associé ;

- le contrôle d'accès des visiteurs.

Article 3 : Informations collectées et traitées

Chaque application peut être mise en oeuvre de façon indépendante ou intégrée. Les informations suivantes peuvent être collectées :

a) Identité : nom, prénom, numéro de matricule interne, corps d'appartenance, grade.

Photographie.

b) Vie professionnelle : service, plages horaires habituellement autorisées, zones d'accès habituellement autorisées, congés, autorisations d'absences, jours de réduction du temps de travail, décharge d'activité de service et autres absences (motifs, droits et décomptes).

c) Badges : numéro du badge ou de la carte, date de validité.

d) En cas d'accès à un parking, numéro d'immatriculation du véhicule, numéro de place de stationnement.

e) Visiteurs : nom, prénom, date et heure de visite, société d'appartenance et nom du salarié ou de l'agent public accueillant le visiteur.

f) Heures d'entrée et de sortie, n° de la porte utilisée.

g) En cas de gestion de la restauration, les informations relatives à la date du repas ainsi qu'au type de consommation, sous la forme exclusive : "hors d'oeuvres", "plat", "dessert", "boisson".

h) Prix des consommations et moyen de paiement, part patronale ou de l'administration, solde.

Article 4 : D'urée de conservation

Les éléments d'identification des salariés ou des agents publics ne doivent pas être conservés au delà de 5 ans après le départ du salarié ou de l'agent de l'entreprise ou de l'administration.

Les éléments relatifs aux déplacements des personnes ne doivent pas être conservés plus de trois mois.

Toutefois, les informations relatives aux salariés ou aux agent publics peuvent être conservés pendant 5 ans lorsque le traitement a pour finalité le contrôle du temps de travail.

La conservation des données relatives aux motifs d'absence est limitée à une durée de cinq ans sauf dispositions législatives contraires.

En cas de paiement direct ou de pré-paiement des repas, les données monétiques ne peuvent être conservées plus de trois mois. En cas de paiement par retenue sur le salaire, la durée de conservation est de 5 ans.

Article 5 : Destinataires des informations

Dans la limite de leurs attributions respectives, les informations nominatives peuvent être communiquées aux destinataires suivants :

Les personnes habilitées du service du personnel : identité, vie professionnelle, badge, temps de présence et déplacements des personnes.

Les personnes habilitées des services gérant la paie ou les traitements : identité, situation économique et financière, temps de présence, vie professionnelle.

Les personnes habilitées des services gérant la sécurité des locaux : identité, badge, temps de présence et déplacement des personnes.

Les personnes habilitées du service ou de l'organisme gérant le restaurant d'entreprise ou administratif : identité, gestion de la restauration, prix des consommations et moyen de paiement.

Lorsqu'un accord sur le temps de travail le prévoit et dans la limite des dispositions légales et conventionnelles applicables, certains salariés protégés peuvent être destinataires des informations relatives aux heures d'arrivée et de départ des personnes.

Article 6 : Liberté de circulation des salariés protégés

Les contrôles d'accès aux locaux de l'entreprise ou de l'administration et aux zones de celle-ci limitativement désignées, faisant l'objet d'une restriction de circulation justifiée par la sécurité des biens et des personnes qui y travaillent, ne doivent pas entraver la liberté d'aller et venir des salariés protégés dans l'exercice de leurs fonctions.

Article 7 : Information et droit d'accès

Lorsque le responsable qui envisage de mettre en oeuvre un tel traitement relève des dispositions du livre IV du code du travail relatives aux institutions représentatives des salariés au sein de l'entreprise il doit procéder à la consultation de ces institutions préalablement à la décision de mise en oeuvre du traitement.

Lorsque le responsable qui envisage de mettre en oeuvre un tel traitement relève des dispositions des lois n° 84-16 du 11 janvier 1984 portant dispositions statutaires relatives à la fonction publique de l'Etat, n° 84-53 du 16 janvier 1984 portant dispositions statutaires relatives à la fonction publique territoriale et n° 86-33 du 9 janvier 1986 portant dispositions statutaires relatives à la fonction publique hospitalière, il doit procéder à l'information des comités mixtes paritaires dans les conditions prévues par l'article 15 du décret 82-452 du 28 mai 1982 relatif aux comités techniques paritaires et des articles 4 et 6 du décret 2000-815 du 25 août 2000 relatif à l'aménagement et à la réduction du temps de travail dans la fonction dE publique de l'Etat.

L'information des salariés ou agents publics sur les finalités et les fonctions du traitement, les destinataires des informations et les modalités d'exercice de leur droit d'accès et de rectification doit être également assurée par tout moyen approprié, notamment par voie d'affichage ou par la diffusion d'une note explicative préalablement à la mise en oeuvre du traitement.

Article 8 : Sécurités

Des mesures de sécurité physique et logique doivent être prises afin de préserver la sécurité du traitement et des informations, d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Le Président, Michel GENTOT

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: