Présentation

  • : Le blog de réflexion d'un étudiant en droit
  • Le blog de réflexion d'un étudiant en droit
  • : Quelques réflexions au fil du temps sur le droit et l'actualité. Un ton simple, libre et sans prétention.
  • Contact

Les billets de ce blog sont la propriété exclusive de leur auteur. Seules de courtes citations faisant mention de la source et de l'auteur sont autorisées toute autre reproduction demeure soumise à autorisation expresse.
Les commentaires font l'objet d'une modération par l'auteur de ce blog.

Rechercher Sur Ce Blog

Pour garder le contact

Wikio

 

  Paperblog : Les meilleurs actualités issues des blogs

Un petit adage latin

"Jura vigilantibus, non dormientibus prosunt": les droits à ceux qui veillent pas à ceux qui dorment
23 juin 2010 3 23 /06 /juin /2010 08:30

Dans certaines entreprises il est devenu courant d’équiper les véhicules professionnels avec des dispositifs de géolocalisation GSM/GPS. Ces dispositifs permettent à l’employeur de localiser la position géographique de leurs employés ou des objets mis à leur disposition. La CNIL a précisé les conditions d’utilisation de ces moyens techniques dans une délibération n°2006-066 du 16 mars 2006.

 

Cas d’utilisation des dispositifs de géolocalisation :

  • Pour l’amélioration du processus de production comme l’envoi du véhicule le plus proche (chauffeurs de taxi, interventions d’urgence) ou encore pour l’analyse du temps nécessaire pour certains déplacements.
  • Pour la sécurité des personnes ou des marchandises transportées (transporteurs de fonds, travailleurs isolés).
  • Pour le suivi des marchandises en raison de leur nature particulière, particulièrement les produits dangereux.
  • Pour le suivi du temps de travail des employés, si cela n’est pas possible par un autre moyen.
  • Pour le suivi et pour prouver l’exécution des prestations nécessitant l’usage d’un véhicule (ramassage scolaire, patrouilles de service autoroutier).

Le recours à la géolocalisation demeure exclu pour des employés qui organisent librement leurs déplacements, ce qui vise les VRP ainsi que les visiteurs médicaux en particulier.

 

De plus lorsque la géolocalisation est justifiée elle ne doit pas s’étendre aux  périodes hors du temps de travail, par conséquent il faut que le dispositif puisse être désactivé en dehors des heures de travail.

 

Conditions de mise en œuvre de ces dispositifs :

  • Ces dispositifs ne doivent pas permettre de constater des infractions aux limitations de vitesse, les employeurs publics et privés étant exclus de l’article 9 de la loi du 6 janvier 1978.
  • Les données collectées ne doivent être accessibles qu’aux personnes habilitées. Les données doivent être sécurisées par identifiant et un mot de passe.
  • Une durée de conservation doit être respectée (en général une durée de 2 mois, 1 an pour les données relatives à l’optimisation des tournées, 5 ans pour le suivi des horaires de travail).
  • Les institutions représentatives du personnel doivent être consultées et conformément à l’article 32 de la loi du 6 janvier 1978  les employés doivent être individuellement informés de la finalité du traitement, de la nature des données collectées, de la durée de conservation, des destinataires des données, des droits d’accès, de rectification et d’opposition. 
  • La géolocalisation ne peut pas s’appliquer aux employés titulaires d’un mandat électif ou syndical lorsqu’ils agissent dans le cadre de leurs fonctions.

 

Obligation de déclaration :

Le dispositif s’il est conforme à la norme simplifiée n°51 du 16 mars 2006  doit faire l’objet d’une déclaration de conformité par le responsable du traitement. Dans les autres cas il faudra procéder à une déclaration normale. Si l’entreprise a désigné un correspondant informatique et libertés (CIL) le dispositif est dispensé de déclaration. 

 

Repost 0
21 juin 2010 1 21 /06 /juin /2010 08:30

Les nouvelles technologies s’insinuent de plus en plus dans l’entreprise. Ainsi sur le lieu de travail certains dispositifs de reconnaissances biométriques font leur apparition.

 

Ces dispositifs permettent la reconnaissance d’un individu par ses caractéristiques physiques, biologiques et même comportementales. Les données à la base de la biométrie sont donc des données à caractère personnel qui doivent être protégées par la CNIL.

 

C’est pourquoi la mise en place de tels dispositifs est soumise à l’autorisation préalable de la CNIL.

 

Il existe cependant trois cas de figure où les formalités de déclaration sont allégées, une simple déclaration de conformité est suffisante :

  • L’accès aux locaux professionnels par reconnaissance de l’empreinte digitale si elle est enregistrée sur un support détenu exclusivement par la personne concernée : autorisation unique n°AU-007.
  • L’accès à la restauration professionnelle et la gestion des horaires de travail par reconnaissance du contour de la main : autorisation unique n°AU-008

De plus il est nécessaire d’informer les salariés concernés sur les conditions d’utilisation des dispositifs biométriques mis en place, de la possibilité d’exercer leurs droits d’accès, de rectification et d’opposition, mais aussi de les informer des destinataires des informations collectées.

 

Il faut également consulter les institutions représentatives du personnel : notamment article 2323-32 du Code du travail pour le comité d’entreprise.

 

Il faut ajouter que dans le cas de l’utilisation de la reconnaissance biométrique par empreinte digitale la mise en place du dispositif doit reposer sur un fort impératif de sécurité et remplir quatre conditions :

  • La finalité du dispositif doit reposer sur des enjeux dépassant le strict intérêt de l’entreprise. Il faut un risque pour les personnes, les biens, les installations ou les informations. La zone de contrôle doit être limitée à une zone et à certaines personnes.
  • La mise en place du dispositif doit être proportionnelle à la finalité de sécurité.
  • Le dispositif doit garantir, l’absence de divulgation des données personnelles, l’authentification et l’identification fiable de la personne concernée.
  • Les salariées concernés doivent être informés de leur droit conformément à la législation du Code du travail et à la loi informatique et libertés.

Ces différents éléments doivent être respectés sous peine d’interruption du dispositif ordonné par la CNIL, ce qu’elle n’a pas hésité à faire le 18 mars 2010 pour le dispositif de reconnaissance d’empreinte digitale d’une société de commerce en gros d’habillement militaire : voir la délibération  n°2010-072 du 18 mars 2010 ici.

Repost 0
14 juin 2010 1 14 /06 /juin /2010 16:48

Le développement des nouvelles technologies dans l’entreprise a fait naître de nouvelles problématiques. Les employés ont pratiquement tous accès depuis leur poste de travail à Internet. Ils peuvent ainsi utiliser une messagerie électronique pour communiquer. Cependant tous les courriels envoyés ne sont pas toujours à caractère professionnel, et cette correspondance électronique à caractère privé suscite des interrogations.

 

L’employeur peut-il accéder aux courriels privés reçus par ses employés ?

L’employeur pour des raisons de sécurité peut mettre en place un système de contrôle des contenus des ordinateurs du personnel de l’entreprise, notamment pour lutter contre le risque d’infestation du système par des objets malveillants.

 

Il doit pourtant respecter le secret des correspondances privées. Ainsi il ne peut pas accéder aux courriels privés de son personnel. Dans le cas contraire il est passible des sanctions pénales prévues aux articles 226-15 et 432-9 du Code pénal.

 

Selon la jurisprudence de la Cour de cassation et le célèbre arrêt Nikon du 2 octobre 2001, même si l’employeur a interdit l’usage privé de la messagerie il ne peut pas y accéder sans porter atteinte à la vie privée du salarié : « Attendu que le salarié a droit, même au temps et au lieu de travail, au respect de l'intimité de sa vie privée ; que celle-ci implique en particulier le secret des correspondances ; que l'employeur ne peut dès lors sans violation de cette liberté fondamentale prendre connaissance des messages personnels émis par le salarié et reçus par lui grâce à un outil informatique mis à sa disposition pour son travail et ceci même au cas où l'employeur aurait interdit une utilisation non professionnelle de l'ordinateur ».

 

Quelles sont les limites à ce principe ?

La levée du secret de la correspondance peut résulter d’une décision de justice ou de l’ouverture d’une instruction pénale. Dans ce cas il est alors possible de prendre connaissance d’un courriel à caractère privé.

 

Le salarié, pour bénéficier de la protection des correspondances privées, doit faire figurer la nature personnelle du message soit dans son objet, soit dans le nom du répertoire dans lequel il est conservé. A défaut l’employeur est libre d’accéder à l’intégralité du contenu de ce qui est professionnel.

 

Pour adapter ces contraintes aux impératifs de l’employeur, la Cour de cassation dans un arrêt du 30 mai 2007 décide de la présomption du caractère professionnel du courriel s’il n’est pas identifié comme étant à caractère personnel : « Qu'en statuant ainsi, sans rechercher si les fichiers ouverts sur le matériel mis à sa disposition par l'employeur avaient été identifiés comme personnels par le salarié, la cour d'appel n'a pas donné de base légale à sa décision ».

 

Mais il faut préciser que l’employé est tenu d’exécuter son contrat de travail de bonne foi, selon les dispositions de l’article L1222-1 du Code du travail. Ainsi il ne peut pas transformer des messages de nature professionnelle en message privé, dans le seul but de bénéficier de la protection des correspondances privées.

 

Repost 0