• Home  / 
  • DELIBERATION 2011-189

DELIBERATION 2011-189

By Thiébaut Devergranne / 5 years ago

La Commission nationale de l'informatique et des libertés,

Vu la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 25-I-4° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié en 2007 ;

Vu la délibération de la CNIL n°2005-305 du 8 décembre 2005 portant autorisation unique AU-004 de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle, telle que modifiée le 14 octobre 2010 ;

Vu la demande d'autorisation, présentée par la société GROUPE RANDSTAD FRANCE, le 30 mai 2011, portant sur un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d'un dispositif d'alerte professionnelle ;

Sur le rapport de M. Emmanuel de GIVRY, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement ;


Formule les observations suivantes :

La société GROUPE RANDSTAD FRANCE, associée majoritaire de la société RANDSTAD a déposé un dossier de demande d'autorisation pour la mise en œuvre d'un dispositif de traitement de données à caractère personnel dénommé système d'alerte professionnelle strictement dédié à la discrimination permettant aux salariés permanents ou temporaires et aux candidats à un emploi de signaler des faits de discriminations dont ils pensent être victimes.

Elle considère qu'il y a lieu de faire application des dispositions de l'article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire.

La Commission rappelle qu'elle a adopté, le 8 décembre 2005, une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle.

Elle observe que le traitement objet de la présente délibération ne répond pas aux conditions prévues par l'autorisation unique s'agissant du fondement juridique et du champ d'application du dispositif. En effet, le dispositif est limité aux seules alertes dans le domaine de la discrimination.

La Commission doit, par conséquent, procéder à une analyse spécifique du traitement soumis à son appréciation, au regard des principes relatifs à la protection des données à caractère personnel, et notamment, de l'article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

La société GROUPE RANDSTAD FRANCE a adhéré au label diversité et souhaite, dans ce cadre, mettre en place un dispositif d'alerte professionnelle dédié à la lutte contre les discriminations et permettant aux personnes concernées de saisir le Comité anti discrimination, via un formulaire accessible sur l'intranet et l'extranet, de toutes questions ou alertes sur des faits dont elles auraient été victimes.

Le label diversité a été créé par le décret n°2008-1344 du 17 décembre 2008 et s'inscrit dans la politique gouvernementale de prévention des discriminations et de promotion de la diversité. Le Ministère de l'intérieur, qui a repris les attributions de l'ancien Ministère de l'immigration et de l'intégration, est désormais responsable de sa mise en œuvre en collaboration avec l'AFNOR Certification. Ce label a pour objectifs d'une part, de promouvoir la diversité et la prévention des discriminations et d'autre part, de valoriser les meilleures pratiques en matière de recrutement et d'évolution professionnelle au sein des organismes.

Le cahier des charges de l'AFNOR préconise notamment la mise en place d'outils permettant d' identifier les plaintes et réclamations internes ou externes et, de manière générale, d'assurer la traçabilité des signalements.

La Commission relève que le dispositif présenté s'inscrit dans le cadre des textes internationaux, européens et nationaux afférents à la prévention des discriminations, à l'égalité des chances et à la promotion de la diversité dans le domaine de la gestion des ressources humaines.

Elle constate que les faits susceptibles d'être recueillis dans le cadre de ce dispositif sont strictement limités aux alertes relatives à la discrimination et qu'aucune autre alerte ne doit être signalée dans le cadre de ce dispositif.

Il n'est pas fait appel à un prestataire externe pour le recueil et la gestion des alertes. En effet, un comité anti-discrimination a été créé au sein de la société RANDSTAD auprès de laquelle le dispositif est centralisé. Le comité anti-discrimination est composé des différentes directions des filiales du groupe concernées par la mise en place du dispositif d'alerte : Ressources humaines, Juridique, Responsabilité sociale d'entreprise (RSE), Méthode et Qualité.

La Commission considère que l'utilisation du dispositif d'alerte doit demeurer facultative et complémentaire par rapport aux autres voies légales de remontée de réclamations des salariés, notamment les instances représentatives du personnel qui sont habilitées par le Code du travail à recueillir les réclamations des salariés.

Dès lors, elle prend acte que ces dernières ont été dûment informées du traitement et qu'elles ont émis un avis favorable à la mise en œuvre de ce dispositif d'alerte professionnelle.

La Commission considère que l'obligation de s'identifier pour la personne à l'origine de l'alerte est de nature à limiter les risques de mise en cause abusive ou disproportionnée de l'intégrité professionnelle, voire personnelle des personnes concernées.

En l'espèce, elle constate que le dispositif ne permet pas d'émettre des signalements anonymes. L'émetteur de l'alerte doit nécessairement s'identifier sur le formulaire intranet ou extranet pour signaler des faits de discrimination. Son identité est par la suite traitée de façon confidentielle par les personnes chargées du recueil des alertes.

La Commission observe qu'il est clairement rappelé que l'utilisation abusive de ce dispositif peut exposer son auteur à des sanctions disciplinaires, ainsi qu'à des poursuites judiciaires.

Compte tenu de ce qui précède, elle estime que le traitement envisagé est conforme l'article 6-3° de la loi du 6 janvier 1978 modifiée.

L'information des personnes est assurée par une campagne d'informations auprès des intérimaires et permanents, par l'organisation de réunions d'information et enfin par la diffusion d'informations sur les sites intranet et internet de la société RANDSTAD. La personne éventuellement mise en cause sera informée dès l'enregistrement des données la concernant.

Les droits d'accès et de rectification s'exercent auprès du correspondant informatique et libertés de la société GROUPE RANDSTAD FRANCE.

Les catégories de données à caractère personnel enregistrées sont relatives à l'identité, la fonction et coordonnées de l'émetteur de l'alerte, le ou les critères légaux de discriminations ressenties, les faits signalés, les éléments recueillis dans le cadre de la vérification de ces faits, le compte rendu des opérations de vérification et les suites données à l'alerte.

Les destinataires des informations sont, dans la limite de leurs attributions et pour la finalité précitée, les seuls membres du Comité anti-discrimination désignés en nombre limité et soumis à une obligation renforcée de confidentialité.

Les mesures de sécurité sont prises afin de préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès. De plus, les opérations effectuées sur la boite de messagerie électronique recevant les formulaires de signalement sont tracées.

Enfin, au regard de la sensibilité des données collectées, la Commission rappelle d'une part, l'importance pour les membres du Comité anti-discrimination de respecter l'obligation de confidentialité et les finalités pour lesquelles les données sont collectées et d'autre part, de se conformer aux durées de conservation des données prévues à l'article 6 de la délibération de la Commission n°2005-305 du 8 décembre 2005 (AU-004).

Dans ces conditions, la Commission autorise la société GROUPE RANDSTAD FRANCE à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en place d'un dispositif d'alerte professionnelle.

Le Président,


Alex TÜRK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: