Le Préposé fédéral à la protection des données et à la transparence (PFPDT - Suisse) et la Commission nationale de l'informatique et des libertés (CNIL - France) viennent de publier des fiches sur la protection des données personnelles au travail.
Ces fiches mettent l'accent sur les problématiques suivantes:
- l'utilisation d'Internet à des fins privées sur les lieu de travail
Il est rappelé qu'"une utilisation personnelle de ces outils est tolérée par les tribunaux si elle reste raisonnable et n'affecte pas la sécurité des réseaux ou la productivité. C'est à l'employeur de fixer les contours de cette tolérance et d'en informer ses employés" (CNIL) ... en effet "l'employé doit savoir dans quelles limites il peut surfer sur Internet à des fins privées" (PFPDT).
En cas d'abus, le PFPDT préconise de "procéder à une évaluation anonyme (analyser le comportement de navigation de l'équipe plutôt que d'un collaborateur particulier)", d'"adresser une mise en garde générale" et de "n'évaluer les donner individuellement qu'en cas de récidive et d'irrégularité flagrante".
La CNIL précise que "l'employeur peut contrôler et limiter l'utilisation d'internet [...] et de la messagerie [...]. Ce contrôle a pour objectif: 1) d'assurer la sécurité des réseaux qui pourraient subir des attaques [...], 2) de limiter les risques d'abus d'une utilisation trop personnelle d'internet ou de la messagerie". Elle indique également que "par défaut, les courriels ont un caractère professionnel. L'employeur peut les lire, tout comme il peut prendre connaissance des sites consultés, y compris en dehors de la présence de l'employé".
- la vidéosurveillance-vidéoprotection au travail
Il est rappelé que "l'utilisation de caméras vidéos sur le lieu de travail peut se concevoir si elle a pour but, par exemple, de contrôler les processus de fabrication d'une usine, de surveiller la chambre forte ou le local des serveur d'une entreprise dans certains secteurs, ou encore de prévenir les vols à main armée dans un magasin de station-service" (PFPDT) ... mais ces dispositifs de vidéosurveillance "ne peuvent conduire à placer les employés sous surveillance constante et permanente" (CNIL) ... car "il est interdit de placer les salariés sous surveillance constante" (PFPDT).
Ainsi, le PFPDT précise qu'avant de mettre en place de tels dispositifs, il convient d'envisager "des mesures moins intrusives", d'"informer le personnel des lieux filmés et du but de la surveillance; l'informer également de ce qu'il advient des enregistrement vidéo", de "ne filmer que ce qui est nécessaire au but défini. Pas de caméras dans les toilettes ni dans les vestiaires".
La CNIL indique que les caméras "ne doivent pas filmer les employés sur leur poste de travail, sauf circonstances particulière (employés manipulant de l'argent par exemple, mais la caméra doit davantage filmer la caisse que le caissier; entrepôt stockant des biens de valeurs au sein duquel travaillent des manutentionnaires)" et "elles ne doivent pas filmer les locaux syndicaux ou des représentants du personnel, ni leur accès lorsqu'il ne mène qu'à ces seuls locaux".
Elle mentionne que "la conservation des images ne doit pas excéder un mois".
Et, elle insiste sur le fait que "les personnes concernées (employés et visiteurs) doivent être informés, au moyen d'un panneau affiché de façon visible dans les locaux sous vidéosurveillance: 1) de l'existence du dispositif, 2) du nom de son responsable, 3) de la procédure à suivre pour demander l'accès aux enregistrements visuels les concernant. De plus chaque employé doit être informé individuellement (au moyen d'un avenant au contrat de travail ou d'un note de service, par exemple)".
- la recherche d'informations sur les candidats à un emploi / le recrutement et la gestion du personnel
Le PFPDT indique que "l'intrusion de la part des employeurs dans des sites Internet ou des profils de réseaux sociaux non accessibles à tous n'est pas licite". Et, il donne des conseils aux candidats à un emploi, à savoir ""googler" son propre nom et évoquer ouvertement les contenus délicats lors de l'entretien; faire attention à ce qu'on poste sur Internet. La Toile n'oublie rien !; bien définir qui a accès à son profil Facebook, Flickr, etc.".
La CNIL rappelle que "dans le cadre d'un recrutement, les données collectées ne doivent servir qu'à évaluer la capacité du candidat à occuper l'emploi proposé [...]. Il est interdit de demander à un candidat à un emploi son numéro de sécurité sociale. Il est également interdit de collecter des informations sur ses parents, sa fratrie, ses opinions politiques ou son appartenance syndicale. À l'embauche [seulement], l'employeur pourra collecter des informations complémentaires".
Elle revient aussi sur le fait qu'"en cas d'issue négative à une candidature, le recruteur devra informer le candidat qu'il souhaite conserver son dossier, afin de lui laisser la possibilité d'en demander la destruction. Si un candidat ne demande pas la destruction de son dossier, les données seront automatiquement détruite 2 ans après le dernier contact. Seul l'accord formel du candidat permet une conservation plus longue. Les données relatives à un employé sont conservées le temps de sa présence dans l'organisme. Une fois l'employé parti, certaines informations doivent être conservées par l'employeur sur un support d'archive (par exemple, 5 ans après le départ du salarié pour les bulletins de paie)".
- la géolocalisation des véhicules
La CNIL rappelle que si un employeur installe des dispositifs de géolocalisation dans un véhicule, il doit en informer les employés qui doivent pouvoir s'opposer à une telle installation "dans leur véhicule professionnel, dès lors que ce dispositif ne respecte pas les conditions légales posées par la CNIL ou d'autres textes" et "ils doivent avoir accès aux données les concernant enregistrées par l'outil (dates et heures de circulation, trajets effectués, etc.)".
Et, elle indique qu'"en principe, les informations obtenues par la géolocalisation ne doivent pas être conservées plus de deux mois. Toutefois, elles peuvent être conservées un an lorsqu'elles sont utilisées pour optimiser les tournées ou à des fins de preuve des interventions effectuées, lorsqu'il n'est pas possible de rapporter cette preuve par un autre moyen. Enfin, elles peuvent être conservées cinq ans lorsqu'elles sont utilisées pour le suivi du temps de travail".
- l'accès aux locaux et le contrôle des horaires
La CNIL précise que "l'employeur peut mettre en place des outils - y compris biométriques - de contrôle individuel de l'accès pour sécuriser 1) l'entrée dans les bâtiments, 2) les locaux faisant l'objet d'une restriction de circulation" ... étant entendu que "le système mis en place ne doit pas servir au contrôle des déplacements à l'intérieur des locaux" et "le dispositif ne doit pas entraver la liberté d'aller et venir des représentants du personnel dans l'exercice de leur mandat, ou être utilisé pour contrôler le respect de leurs heures de délégation".
Et, elle mentionne que "les données relatives aux accès doivent être supprimées 3 mois après leur enregistrement. Les données utilisées pour le suivi du temps de travail, y compris les données relatives aux motifs des absences, doivent être conservées pendant 5 ans".
Pour plus de détails:
- PRÉPOSÉ FÉDÉRAL À LA PROTECTION DES DONNÉES ET À LA TRANSPARENCE (Suisse)
- COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTÉS (France)