Dans le cadre de son activité de formation professionnelle ou continue, TRiPALiUM publie les articles de veille et de synthèse de ses stagiaires .
La publication de ces articles participe à leur progression pédagogique. Si vous êtes interessé par une formation TRiPALiUM cliquer ici

Par Thibaut LEROLLE *

 Faire le choix (difficile) de déclarer un système d’information à la CNIL


Beaucoup d 'entreprises françaises ont encore aujourd'hui un logiciel traitant des informations nominatives sur leurs salariés et ne l'ont cependant toujours pas déclaré auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL*). Par ignorance de leurs devoirs ou par peur de l'ampleur et de la difficulté du travail qui les attend. Il est vrai que la déclaration de certains outils RH peut ne pas sembler évidente, comme le signale Haffit Ennaoura, consultant chez Aderhis : " certains Directeurs des Ressources Humaines oublient que des outils de congés ou de GTA tombent aussi sous le coup de la déclaration ". Pourtant l'article 16 de la loi n° 78-17 du 16 janvier 78 stipule bien que tous les traitements automatisés d'informations nominatives, hormis les traitements de comptabilité générale, doivent " préalablement à leur mise en œuvre faire l'objet d'une déclaration auprès de la Commission Nationale de l'Informatique et des Libertés ".Et cela n'est pas sans danger pour le dirigeant, considéré comme juridiquement responsable du contenu de la déclaration : il risque de 6 mois à 3 ans d'emprisonnement et une amende de 2 000 à 200 000 F (de 303 à 30 350 euros). Même si dans la plupart des cas la CNIL préférera la concertation à la répression et essaiera de régler un litige en trouvant une solution amiable.
Dans le cas de détention de 'données sensibles' (origines raciales, opinions politiques, philosophiques ou religieuses, appartenances syndicales ou mœurs des personnes), 5 ans de prison et 2 000 000 francs sont requis.
Même sanction si un système informatique utilise le Numéro National d'Identification d'un salarié sans permission de la CNIL, ceci afin d'éviter le recoupement de fichiers informatiques par le biais du numéro de sécurité sociale ou le numéro INSEE.
La déclaration reste cependant un travail très lourd (compter jusqu'à 6 mois de préparation) qui doit être absolument pris en compte et intégré dans un projet.
D'une part parce qu'on ne peut pas mettre dans un système d'information n'importe quelle nature de données : selon l'article 31 de la loi " il est interdit de mettre ou de conserver en mémoire informatisée, sauf accord exprès de l'intéressé, des données nominatives qui, directement ou indirectement, font apparaître les origines raciales ou les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales des personnes. "
D'autre part car un système d'information ne peut légalement être mis en production sans l'aval de la CNIL. Haffit Ennaoura explique encore que " beaucoup d'entreprises font une déclaration ordinaire, mais le font assez mal car ils ne font uniquement qu'une liste des informations traitées alors que ce qui intéresse la CNIL c'est le contenu et la finalité de chacune des rubriques traitées par le logiciel. " .
D'autant plus qu' " à partir du moment où il est choisi de jouer le jeu de la déclaration, la CNIL vérifie jusqu'au bout la validité des données ". Les principales difficultés rencontrées résident dans le fait de faire la différence entre déclaration simplifiée, déclaration ordinaire, avis, lors de modification ou lors de suppression d'un traitement automatisé d'informations nominatives. Aussi la paie des personnels peut faire l'objet d'une déclaration simplifiée, alors que les autres principaux outils de Gestion des Ressources Humaines nécessitent une déclaration ordinaire.
Mais la plus grande difficulté reste le renseignement des nombreuses annexes. Celles-ci servent principalement à sonder les informations traitées par un système informatique et à valider leur finalité, à comprendre la sécurité développée autour de ces informations et à vérifier		    que chaque salarié bénéficie bien de son droit de veto, d'accès et de modification de ses données personnelles. Cela permet aussi de vérifier qu'un logiciel ne se substitue pas à l'homme pour la prise de décision, que certaines informations ne sont pas gardées plus longtemps que leur durée prévue, voir encore que les informations ne sont pas accessibles à des personnes non autorisées ou qu'elles ne sont pas communiquées à des tiers à des fins commerciales. C'est pourquoi l'ampleur du travail de renseignement des annexes nécessite la collaboration de la Direction Informatique de l'entreprise comme de la Direction des Ressources Humaines. De plus, certains points peuvent être particulièrement délicats à déclarer ; cela peut être le cas pour les outils de gestion des compétences ou des carrières et les outils de recrutement. Toute information ne doit pas pouvoir figurer dans un système d'information. Par exemple, prévient Haffit Ennaoura, il va falloir " se servir avec parcimonie des champs commentaires " qui permettraient aux managers (suite à l'entretien de performance) ou aux responsables recrutement de renseigner des informations subjectives qui n'ont pas à figurer dans une base de données.
Le statut de la CNIL lui permet à tout moment de visiter une entreprise et de vérifier que l'utilisation d'un traitement automatisé des données nominatives correspond bien avec ce qui a été déclaré lors de son implémentation. Elle peut même en cas de circonstances exceptionnelles aller jusqu'à détruire des supports d'information. Cependant elle est moins bien armée en ce qui concerne les transmission de données personnelles entre différents pays. Le cadre légal complique la déclaration à la CNIL lors de traitements internationaux. Mais imaginons un système d'information dont le traitement des données serait effectué en France mais dont la base de données serait localisée à l'étranger. Comment contrôler que l'utilisation de certaines informations correspond bien à la finalité du traitement déclaré en France ? Par exemple il serait possible de s'appuyer sur une base de données pour concevoir un plan de licenciement à partir de l'étranger mais dont les répercussions se feraient en France. C'est pourquoi les transmissions de données entre différents pays font état actuellement de nombreux débats en France comme au niveau européen dans un contexte où pour des raisons de coûts ou d'harmonisation de nombreuses bases de données sont migrées à l'étranger.
Sources
bulletPour plus de renseignements sur la déclaration, visitez le site de la CNIL à l'adresse : www.cnil.gouv.fr
 
 

Hit Counter
 
Autorisation de reproduction de documents extraits du site Eur-lex de l'Union Européenne par autorisation de l'Office des publications officielles de la Communauté européenne en date du 21 mai 1999 ref: 99-cop-200
Copyright ã 2007 social conseil entreprise TRiPALiUM - Tous droits réservés. Toute reproduction , même partielle, de la page, par quelque procédé que ce soit ( électronique, photocopie, imprimante, bande magnétique, disquette, cd-rom ou autre ) est interdite sans autorisation par écrit de Yvan Loufrani  L'impression pour usage à titre privé et documentaire est autorisée