Les clés du social Un regard sur le social

Accueil > Entreprise > Management > Fichiers, on ne peut pas tout faire

Fichiers, on ne peut pas tout faire

mercredi 17 octobre 2018

Alors qu’une nouvelle affaire de fichier clandestin secoue l’actualité, retour sur ce qui est possible et ce qui ne l’est pas. Les textes protégeant les salariés et les citoyens sont très clairs et ils encadrent strictement toutes les évaluations et indiquent ce qui est interdit.

Les fichiers sont autorisés mais encadrés

Tout organisme (administration, société, association, etc.) détient et traite des données à caractère personnel. Le responsable d’un fichier, informatique ou papier, doit respecter des obligations (légalité du fichier, sécurité des données, information des personnes, etc.). Les salariés et les citoyens bénéficient de droits pour contrôler l’usage qui est fait de ces données. En particulier il est possible d’y accéder, de les faire rectifier, ou de s’opposer à figurer dans un fichier.

Dans l’entreprise ou l’administration

Un employeur a le droit d’évaluer et de commenter les performances de ses collaborateurs à condition de respecter scrupuleusement plusieurs principes. L’article L1222-2 Code du travail prévoit que « les informations demandées à un salarié ne peuvent avoir pour finalité que d’apprécier ses aptitudes professionnelles. Ces informations doivent présenter un lien direct et nécessaire avec l’évaluation de ses aptitudes. »
L’article L1222-4 du Code spécifie : « aucune information concernant personnellement un salarié ne peut être collectée par un dispositif qui n’a pas été porté préalablement à sa connaissance ». L’article L1222-3 stipule que « le salarié est expressément informé, préalablement à leur mise en œuvre, des méthodes et techniques d’évaluation professionnelles mises en œuvre à son égard ». Le résultat de ces évaluations est « confidentiel » mais le salarié y a accès. Enfin, « les méthodes et techniques d’évaluation des salariés doivent être pertinentes au regard de la finalité poursuivie ». Et si les données et les commentaires collectés sont enregistrés dans un fichier informatique, l’entreprise doit le déclarer à la CNIL.

Ce qui est interdit

Le traitement des données personnelles suivantes est interdit :

  • Données révélant la prétendue origine raciale ou ethnique,
  • Données révélant les opinions politiques,
  • Données révélant les convictions religieuses ou philosophiques,
  • Données révélant l’appartenance syndicale,
  • Données génétiques ou biométriques,
  • Données concernant la santé, la vie sexuelle ou l’orientation sexuelle,
  • Date d’entrée en France, date de naturalisation, modalités d’acquisitions de la nationalité française,
  • Adresse précédente, entourage familial, conditions de logement, et condamnations pénales.

De plus les commentaires doivent être remplis avec la plus grande objectivité possible, en consignant des remarques « pertinentes, adéquates et non excessives ». Si un salarié peut être l’objet de commentaires négatifs (ou élogieux), il faut qu’ils soient exprimés de façon argumentée et professionnelle.

Comme toujours des exceptions existent. Par exemple, si le salarié ou le citoyen ont donné leur consentement pour les traitements nécessaires aux droits des justiciables, à la médecine préventive, à la recherche publique ou justifiés par l’intérêt public (sûreté de l’État, sécurité publique etc.).

Que risque une entreprise ne respectant pas la loi et quels sont les différents recours possibles ?

La Cnil peut sanctionner tout comportement abusif, avec des avertissements, des amendes et, le cas échéant, la transmission du dossier en justice.

Le recours auprès de la Cnil

  • En cas de difficulté pour supprimer des données personnelles d’internet,
  • Lors d’un refus de l’accès ou de mise à jour d’informations personnelles,
  • Lors de la réception non désirée de courriers, de fax ou d’appels publicitaires…

La Cnil intervient auprès du responsable du fichier pour faire respecter les droits. Elle peut prononcer des sanctions (avertissement, sanctions pécuniaires, injonctions, etc.).

Le recours devant les tribunaux

Les salariés et citoyens peuvent également porter plainte contre le responsable du fichier qui encourt des sanctions pouvant aller jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende.


Sources

Textes de référence

  • Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel
  • Loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles
  • Loi n°78-17 du 6 janvier 1978 - Informatique et libertés
  • Loi n°2016-1321 du 7 octobre 2016 pour une République numérique