Le contrôle des outils de surveillance dans le cadre du télétravail est au programme de la Cnil. Frédéric Forster nous livre ses conseils dans le dernier numéro d’EDI Magazine. L’occasion de rappeler la nécessité de respecter un juste équilibre entre vie privée au travail et contrôle légitime par l’employeur.
Virginie Bensoussan-Brulé anime une conférence Lexing « Comment répondre à une demande d’exercice de droits RGPD d’un salarié ou d’un client ? », le vendredi 23 juin 2023 de 9 heures à 11 heures en visioconférence.
Jennifer Bessi et Emmanuel Walle animent une conférence Lexing sur les aspects sociaux et fiscaux des plateformes numériques, le mercredi 19 avril 2023 de 9 heures à 11 heure en visioconférence.
Maître Virginie Bensoussan-Brulé anime une conférence Lexing « Comment répondre à une demande d’exercice de droits RGPD d’un salarié ou d’un client ? », le mercredi 29 mars 2023 de 9 heures à 11 heures en visioconférence.
La Cour d’appel de Paris s’est prononcée sur la question de l’étendue du droit d’accès du salarié à ses données personnelles.
La collecte des données par l’employeur étant constante et régulière, jusqu’où s’exerce le droit d’accès des salariés à leurs données ?
L’obligation de sécurité permet-elle à l’employeur de tenir un registre d’identification des salariés atteints du Covid-19 ?
La Cnil a adopté le référentiel relatif aux traitements RH qui encadre les traitements courants de « gestion du personnel » de tous les organismes privés comme publics (1).
Quelles sont les règles en matière de contrôle d’activité des salariés par les logs de connexion ? Devant le recours massif au télétravail en période de confinement, cette question
Emmanuel Walle, directeur du département droit du travail de Lexing Alain Bensoussan Avocats animera
Emmanuel Walle, directeur du département droit du travail numérique de Lexing Alain Bensoussan Avocats animera un petit-déjeuner débat consacré aux tendances du monde du travail numérique, le 6 février 2019.
La Fédération EBEN met à la disposition de ses membres une charte de droit à la déconnexion à laquelle a collaboré le cabinet Lexing Alain Bensoussan Avocats.
Petit-déjeuner débat du 12 octobre 2016 sur « La technosurveillance en droit du travail : les points de vigilance »
Le 17 novembre 2016 se tiendra la première édition de Technolex, manifestation annuelle entièrement dédiée aux enjeux
Par arrêt du 23 septembre 2011, la Cour d’appel de Caen a confirmé l’ordonnance de référé du Président du Tribunal de grande instance qui a suspendu un dispositif d’alerte professionnelle. La Cour confirme donc la suspension du dispositif d’alerte professionnelle d’une société en raison de l’insuffisance des mesures prises et de l’existence d’un trouble manifestement illicite. Les limitations d’un dispositif d’alerte professionnelle Cette société a mis en place, dans le cadre de la loi américaine Sarbanes-Oxley adoptée en 2002, un dispositif d’alerte professionnelle, via un prestataire extérieur Ethics Points, constitué d’une ligne téléphonique, d’un site internet et d’une adresse de courriel Stryker ; ce système permettant aux salariés du groupe, ainsi qu’à ceux des filiales étrangères, de dénoncer les fraudes et malversations dont ils ont connaissance. Ce système d’alerte professionnelle a, préalablement à son activation, été soumis à la consultation du comité d’entreprise et a fait l’objet d’un engagement de conformité à l’autorisation unique de la Cnil dans son ancienne version. Le dispositif d’alerte visait les domaines « comptable, financier, bancaire et de lutte contre la corruption ». Deux autres rubriques visant les « questions d’intérêt vital pour l’entreprise » et les « sujets d’inquiétudes » existaient également, mais ont été supprimées des menus français. L’autorisation de la Cnil sur les dispositifs d’alerte professionnelle A cet égard, il convient de rappeler que le domaine des alertes professionnelles fait, depuis quelques temps, débat. En effet, la Cnil, dans son ancienne version de l’autorisation unique n°AU-004, ne visait que les dispositifs d’alerte professionnelle ayant vocation à intervenir dans les domaines financier, comptable, bancaire et de lutte contre la corruption. Cette autorisation unique prévoyait également la possibilité de donner suite à une alerte étrangère à ces domaines en cas de mise en jeu de l’intérêt vital de l’organisme ou l’intégrité physique ou morale de ses employés. De nombreuses entités ont alors intégré cette possibilité dans leur procédure de dépôt et de gestion des alertes professionnelles. Toutefois, la Cour de cassation a été amenée à se prononcer sur de tels dispositifs. Elle a considéré que les procédures d’alertes prévoyant la possibilité d’étendre leur périmètre, lorsque l’intérêt vital de la société ou l’intégrité physique ou morale des salariés est en jeu, n’entrent pas dans le périmètre de l’autorisation unique et doivent faire l’objet d’une autorisation normale. Pour tenir compte de la position de la Cour de cassation, la Cnil a alors modifié l’autorisation unique n°AU-004 et supprimé la référence à l’intérêt vital de l’entreprise et à l’intégrité physique ou morale des employés. Un dispositif d’alerte professionnelle pas assez encadré Cependant, en l’espèce, et alors même que : le dispositif en cause ne visait que les domaines bancaire, comptable, financier et de lutte contre la corruption pour les entités françaises ; des mesures avaient été prises pour éviter que cette restriction, spécifique à la France, soit contournée ; les alertes ne concernant pas les domaines autorisés étaient immédiatement détruites ; le dispositif avait été considéré par la Cnil, lors d’un précédent contrôle sur place, comme conforme aux dispositions de la loi Informatique et libertés ; les magistrats ont considéré qu’il restait tout de même possible à tout internaute d’émettre une alerte visant n’importe quel salarié français et ce, indépendamment des domaines autorisés, dans la mesure où les limites apportées au site français n’apparaissaient pas clairement. La Cour d’appel a également mis en exergue le fait que l’anonymat des dénonciations, qui, au regard de l’autorisation unique, doit rester exceptionnel, n’était pas suffisamment déconseillé sur le site internet du prestataire et que l’information des personnes concernées par les alertes était insuffisante. Enfin, la Cour d’appel relève que la société en cause aurait dû, avant d’apporter les modifications susvisées à la procédure pour limiter son périmètre, solliciter l’avis des instances représentatives du personnel. Au regard de ce qui précède, la Cour d’appel retient, qu’en considération du trouble manifestement illicite constaté, la suspension du dispositif doit être confirmée. CA Caen 23-09-2011 n° 09-00287
Comment concilier l’usage d’une messagerie professionnelle et le droit au respect de la vie privée ?
Dans un récent communiqué, la Cnil fait le point sur les droits et obligations des employeurs en matière d’évaluation des salariés. A cet égard, la Cnil rappelle les grands principes applicables en matière de traitement de données à caractère personnel.
Depuis septembre 2009, même en l’absence de Cil et de déclaration de fichier de gestion du personnel, les responsables d’un traitement mis en œuvre dans le cadre de l’établissement et du suivi du plan de continuité de l’activité permettant de faire face à un épidémie grippale de grande ampleur ne sont plus tenus d’effectuer de formalités préalables,
Informatique et libertés SI Ressources humaines Vote électronique pour les élections professionnelles La Cnil a fait une recommandation sur le vote électronique pour les élections professionnelles. Elle y précise qu’il s’agit essentiellement du vote dématérialisé par internet et non du vote par téléphone, par machine à voter ou par boîtier. Se faisant, elle donne la liste des garanties à respecter et préconise notamment le scellement et le chiffrement ininterrompu du bulletin jusqu’au dépouillement. Elle rappelle, par ailleurs, que tout système de vote doit faire l’objet d’une déclaration à la Cnil, qui a pour mission de vérifier le respect de sa recommandation, dont elle peut également vérifier le respect par un contrôle sur place. Communiqué Cnil du 30 avril 2009 (Mise en ligne Juin 2009)
Informatique et libertés SI Ressources humaines Le guide pour les employeurs et les salariés est paru ! La Cnil se propose, par la diffusion d’un « guide pour les employeurs et les salariés » (Guide Cnil du 17-11-2008), de parfaire l’information des salariés sur les droits dont ils disposent et de conseiller les employeurs pour une utilisation optimisée des outils et fichiers constitués en matière de gestion des ressources humaines. La loi du 6 janvier 1978 modifiée, dite loi Informatique et libertés, encadre en effet la collecte et le traitement des données à caractère personnel afférentes aux salariés en vue de garantir le respect de leur vie privée et de prévenir toute atteinte aux droits et libertés individuelles. Les employeurs étant susceptibles de voir leur responsabilité, notamment pénale, engagée du fait de l’inobservation des dispositions de la présente loi, la Cnil a souhaité mettre à leur disposition un guide précisant, en une cinquantaine de pages, les conditions de mise en oeuvre des diverses technologies. Il comporte en outre une douzaine de fiches pratiques portant notamment sur le contrôle de l’utilisation d’internet et de la messagerie, la vidéosurveillance sur les lieux de travail, la gestion de la téléphonie, les dispositifs de géolocalisation gsm/gps, l’utilisation de badges ou de la biométrie sur le lieu de travail. Cnil, guide du 17 novembre 2008 (Mise en ligne Novembre 2008)
Informatique et libertés SI Ressources humaines Précisions sur le vote électronique pour l’élection des IRP au comité d’entreprise Le Journal officiel vient de publier un arrêté (1) pris en application du décret du 25 avril 2007 relatif aux conditions et modalités de vote par voie électronique pour l’élection des délégués et des représentants du personnel au comité d’entreprise et modifiant le code du travail. Deux articles sont créés : l’article R.423-1-2 pour l’élection des délégués du personnel et l’article R.433-2-2 pour celle des représentants du personnel du CE. Ces deux articles précisent les modalités pratiques de mise en œuvre du vote électronique. La LCEN (2) avait déjà ouvert la voie au vote électronique pour les élections des représentants du personnel au sein de l’entreprise. (1) Arrêté du 25 avril 2007, JO, 27 avril 2007 (2) L.2004-575 du 21 juin 2004, art. L.423-13 et L.433-9 C. trav Paru dans la JTIT n°65/2007 p.7 (Mise en ligne Juin 2007)
Informatique et libertés SI Ressources humaines Les traitements de gestion du personnel Les traitements de données personnelles effectués dans le cadre des ressources humaines et de gestion du personnel sont des traitement qu’il convient tout particulièrement de surveiller au regard des obligations posées par la loi Informatiques et libertés modifiée en août 2004. En effet, ces traitements revêtent un large périmètre et sont susceptibles de mettre en jeu les principes clés de la loi Informatique. Lors de leur mise en œuvre, il convient de prêter une attention particulière aux conditions de licéité posées par la loi modifiée. A ce titre, la Cnil vient de fournir de nouveaux repères en publiant la norme simplifiée n°46 relative à la gestion des personnels. Cette nouvelle norme facilite les déclarations de traitements là où auparavant il s’avérait nécessaire de réaliser plusieurs déclarations normales. Le recours à la norme simplifiée n°46 implique préalablement de s’assurer que le traitement de données envisagé relève bien du périmètre de la nouvelle norme. Ce périmètre est extrêmement large puisqu’il couvre des finalités de traitements ou fichiers qui vont au-delà de la simple gestion des personnels : mise à disposition des personnels d’outils informatiques, gestion de la messagerie électronique et de l’accès à l’internet/intranet, gestion des autorisations d’accès aux applications et aux réseaux, gestion des carrières et de la formation des personnels, etc. Cependant, sont notamment exclus les traitements permettant un contrôle individuel de l’activités des employés ainsi que les traitements comportant la transmission de données hors Union européenne. Ainsi, les groupes internationaux doivent porter une attention particulière à cette dernière exclusion. La norme n°46 demeure une opportunité de simplification et doit être déployée au cas par cas. Son non-respect pouvant faire encourir un risque pénal, les spécificités de chaque organisme doivent être prises en compte. Délibération 2005-277 du 17 novembre 2005 Délibération 2005-002 du 13 janvier 2005 (Mise en ligne Novembre 2005)
Informatique et libertés SI Ressources humaines Une norme simplifiée étendue pour la gestion du personnel La Cnil a adopté le 13 janvier 2005 une nouvelle norme simplifiée n° 46 pour la gestion du personnel. La norme comporte des limites en excluant notamment tous les traitements permettant un contrôle de l’activité des employés comme la cybersurveillance. Délibération n°2005-002 du 13 janvier 2005 (Mise en ligne Janvier 2005)
| Cookie | Durée | Description |
|---|---|---|
| cookielawinfo-checkbox-functional | 12 mois | Enregistrement du consentement de l'utilisateur pour les cookies fonctionnels |
| cookielawinfo-checkbox-necessary | 12 mois | Gestion de l'affichage du bandeau d'information. |
| CookieLawInfoConsent | 12 mois | Enregistrement de l'absence d'affichage du bandeau. |
| viewed_cookie_policy | 12 mois | Enregistrement de l’ouverture de la politique cookies. |
| Cookie | Durée | Description |
|---|---|---|
| _GRECAPTCHA | 6 mois | Protection du site contre les pratiques abusives des logiciels automatisés grâce à l’identification de l’utilisateur du site en distinguant un être humain du robot. |