Ressources humaines : la CNIL contrôle cinquante entreprises

La CNIL (Commission nationale de l'informatique et des libretés) a décidé d’effectuer des contrôles sur les fichiers de gestion des ressources humaines d’entreprises. Ces contrôles ont conduit pour certains, à l’engagement de procédures de sanction. Ils ont également démontré la nécessaire vigilance qui doit accompagner le développement par les entreprises des outils informatiques concernant la gestion de leurs salariés.

Le contrôle par la CNIL des conditions de mise en œuvre de la loi "informatique et libertés" par les entreprises dans le cadre de leurs applications «RH» constituait une activité importante de son programme annuel de contrôle adopté le 23 mai 2007. En outre, certains de ces contrôles résultaient de l’instruction de plaintes.

Les constats les plus fréquemment établis concernent la mauvaise information des salariés sur leurs droits, la faiblesse des mesures de sécurité mises en place, notamment en cas de transfert à l’étranger de données, ou l’absence de politique de purge des données.

Ces contrôles ont également permis à la CNIL d’avoir une vision précise de l’évolution des pratiques des entreprises sur des sujets nouveaux.

Source : Communiqué de la CNIL du 26 juin 2008 : www.cnil.fr/index.php?id=2486


Trop nombreuses sont encore, en France, les entreprises négligeant l'application de la loi Informatique, fichiers et libertés. Lorsque le traitement des données a été déclaré à la CNIL, l'illusion d'être en règle s'installe dans l'esprit des dirigeants. Or cette déclaration n'est qu'une obligation parmi d'autres de cette loi. Et déclaration ne signifie pas autorisation de la CNIL, mais simple enregistrement de l'existence d'un traitement.

En effet :

  • Aucun contrôle ne peut être exercé par la CNIL sur ce qui n'est qu'une déclaration, compte tenu du volume des déclarations reçues (nous avons vu des déclarations qui n'étaient tout simplement pas conformes à la loi) ; rappelons que le déclarant reste responsable de ses agissements et que le récépissé de la CNIL n'est qu'un accusé de réception de la déclaration ;
  • Il ne suffit pas de déclarer un type de traitement et de ne pas le respecter dans les faits — d'où les contrôles de la CNIL ;
  • On oublie souvent qu'aucune donnée ne peut être stockée indéfiniment, la déclaration à la CNIL devant en principe définir une durée de conservation de celles-ci, et les entreprises doivent bien sûr s'y tenir.

Par ailleurs, il est d'autres obligations de la loi, comme l'obligation d'informer les intéressés. Dans le domaine des ressources humaines, cela se traduit par l'obligation (également aménagée par le code du travail : art. L.120-2, L.121-8, L.432-2, L.432-2-1) de porter l'existence de tout traitement de données sur un salarié à la connaissance de celui-ci, ainsi que de consulter les instances représentatives du personnel (comité d'entreprise)

Rappelons que les sanctions pénales pour non respect de la loi Informatique, fichiers et libertés ont été uniformisées par la réforme de 2004 à 5 ans de prison et 300 000 euros d'amende (art. 226-16 à 226-24 du code pénal) et l'entrave à l'action de la CNIL à un an de prison et 15 000 euros d'amende (art.51 de la loi du 6 janvier 1978). Cette même réforme donne également à la CNIL le pouvoir de prononcer des "sanctions pécuniaires" (art. 45 de la loi) avec publication dans la presse aux frais des intéressés, ce dont la CNIL ne se prive pas dans les cas où elle constate, après un contrôle, qu'on s'est moqué d'elle et que l'entreprise n'a pas changé ses pratiques.

Rappelons enfin plus généralement que la CNIL, au service du citoyen, ne peut agir seule, sans l'intervention de ceux-ci. Compte tenu de l'ampleur de la tâche et même si elle définit un plan d'action de contrôles en direction de tel ou tel type d'entreprise ou d'application, son attention doit être attirée par les plaintes des intéressés. Le communiqué cité ci-dessus précise que parmi les 50 entreprises contrôlées, certaines l'ont été suite à des plaintes. Il a été récemment constaté que les Français restaient passifs sur ce terrain, relativement aux ressortissants d'autres pays démocratiques, plus réactifs.
Il appartient donc au citoyen de se prendre en main s'il veut être protégé. Dans un pays de liberté, il serait du reste malsain de penser que la CNIL contrôle tout à la place du citoyen...

En savoir plus :

Voir notre fiche synthétique de la loi.

L'ensemble du dispositif est clairement expliqué sur le site de la CNIL à la rubrique "Vos obligations" : www.cnil.fr/index.php?id=20

Le Guide employeurs (en pdf) et de nombreuses fiches sont disponibles à la rubrique "Travail" : www.cnil.fr/index.php?id=1070

Didier FROCHOT