Nombreux sont les salariés auxquels une messagerie électronique est mise à disposition pour l’exercice de leur activité professionnelle.
L’employeur a le droit de mettre des limites quant à l’usage d’Internet sur le poste de travail. Cela peut consiste à mettre en place des dispositifs destinés à bloquer les sites qui n’ont rien à voir avec la nature de l’activité de l’entreprise. La sécurité des réseaux de la société ou d’un département justifie aussi l’interdiction de certaines activités sur Internet : téléchargement de logiciels, envoi d’email à partir d’un compte personnel…
Mais les traitements des données informatiques doivent faire l’objet d’une déclaration préalable auprès la Commission nationale de l’informatique et de la liberté (CNIL). Si l’employeur met en place un contrôle individuel des salariés, une déclaration normale s’impose, sauf si un Correspondant informatique et libertés (CIL) est désigné.
En l’absence de tout dispositif de contrôle poste par poste, une déclaration simplifiée suffit. Et dans son arrêt du 1er juin 2017, la Cour de Cassation estime qu’en l’absence de contrôle individuel des salariés, le courriel professionnel est une preuve juridique recevable. En cas de litige, vous pouvez présenter des échanges d’e-mails comme mode de preuve.
Il est donc important de cerner les conditions exigées par la délibération de 2005 pour bénéficier de la procédure de déclaration simplifiée.
Elle est faite en référence à la norme n°46 établie par la délibération du 13 janvier 2005. Celle-ci a vocation à « simplifier l’obligation des traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels ».
La finalité indique à quoi votre fichier va servir. Lorsque vous déclarez un fichier à la CNIL, vous devez indiquer obligatoirement ses finalités. Les finalité déclarée devront être respectée tout au long de la construction et de l’utilisation de votre fichier. Celles-ci sont :
Voici des exemples de données qui peuvent être collectées :
La durée de conservation des données et celle du contrat de chaque employé concerné.
La délibération de 2005 souligne que les salariés concernés doivent être informés de l’identité de la ou des personnes en charge du traitement des données. L’employeur doit aussi porter à leur connaissance les finalités du traitement, le caractère obligatoire ou facultatif des réponses à apporter et d’éventuelles sanctions en cas de défaut de réponse. L’identité de tous les destinataires des données doit aussi être communiquée, par exemple via une charte.
Effectuer la déclaration (normale ou simplifiée) du traitement de données ne décharge en rien l’employeur de toute responsabilité en cas de préjudice aux libertés des salariés. Entre autres, un courriel reçu ou envoyé par un salarié ne constituerait pas une preuve juridique recevable en cas de non-respect des finalités du traitement, ou s’il est avéré qu’il y a contrôle individuel alors que l’employeur avait effectué une déclaration simplifiée.
EN SAVOIR PLUS
© LE PAVILLON DES ENTREPRENEURS 2016 Tous droits réservés
150 Avenue de l'Espace Bâtiment A1 - Lot 2,
59118 Wambrechies