Tout projet d'introduction de nouvelles technologies susceptible d'avoir des conséquences sur l'emploi, la qualification, la rémunération, la formation ou les conditions du personnel, doit faire l'objet d'une consultation auprès du comité d'entreprise (ou des représentants du personnel), du CHSCT (Comité d'hygiène de sécurité et des conditions de travail), d'une déclaration à la Cnil et d'une information des salariés. Pourquoi, quand et comment faire?
Consultation ou avis?
Afin d'éviter toute dérive de la part des employeurs et permettre au salarié de connaître ses propres limites, l'utilisation des NTIC (Nouvelles technologies de l'information et de la communication) est sous «liberté surveillée».
Doivent être consultés pour avis: les délégués du personnel (ou les représentants) pour tout projet et les membres du CHSCT lorsque le matériel installé est à l'origine d'une transformation importante des postes de travail.
Doit faire l'objet d'une déclaration à la Cnil: tout fichier informatisé (créé ou mis à jour) comportant des informations nominatives et personnelles et permettant d'identifier directement ou indirectement des personnes (ex. : nom, numéro d'immatriculation, téléphone, photographie...).
Doit faire l'objet d'une mise à jour: le règlement intérieur de l'entreprise. Attention, cette modification entraînera la consultation de l'inspecteur du travail (voir à ce sujet notre fiche pratique "Bien rédiger le règlement intérieur").
Doivent être informés au moment de la mise en place: les salariés. Si l'information concerne tout le monde, l'avis sera affiché dans l'entreprise et/ou porté à la connaissance du personnel par note de service (imprimée ou électronique). Si l'information est individuelle (ex. : lors du recrutement d'un salarié par exemple), elle sera portée sur le document (ex. : test en ligne, imprimé électronique à compléter...).
Les champs d'application
Découvrez, parmi tous les actes de gestion du personnel susceptibles d'être liés à l'emploi des NTIC, quelques exemples d'application les plus courants et les personnes à prévenir.
Les accès et contrôles quotidiens
Le contrôle et la vidéosurveillance des salariés sont possibles à condition d'en avoir préalablement informé le personnel et d'avoir consulté le comité d'entreprise. S'il s'agit d'un traitement informatisé, une déclaration à la Cnil sera nécessaire : par exemple, lors de la mise en place de logiciels permettant de surveiller les connexions des salariés à Internet (sites visités, temps passé, messages envoyés).
Bon à savoir: si le procédé de surveillance est installé dans des locaux où les salariés ne travaillent pas (ex. : un entrepôt de marchandise), le CE n'a pas à en être informé.
L'utilisation de badges sur le lieu de travail doit faire l'objet d'une déclaration à la Cnil et d'une information des salariés et des représentants du personnel.
La géolocalisation. Principalement utilisée pour suivre les parcours des salariés nomades, et simplifier la gestion des interventions, elle est soumise aux règles générales (avis des délégués ou des représentants du personnel et des salariés).
Les accès et contrôles ponctuels
Les logiciels de prise en main à distance d'un poste informatique ne font pas l'objet d'une déclaration à la Cnil mais le salarié doit donner son accord pour « donner la main » à l'administrateur informatique avant l'intervention sur son poste (par exemple, en validant un message d'information qui apparaîtra alors sur son écran).
Le recrutement. Aucune information concernant personnellement un candidat ne peut être collectée par un dispositif qui n'a pas été porté à sa connaissance. Le comité d'entreprise doit être informé de toute utilisation d'un système informatisé en matière de recrutement. De plus, les questionnaires d'embauche qui subissent un traitement informatisé doivent faire l'objet d'une déclaration à la Cnil.
La gestion du personnel
L'évaluation. Tout système informatisé permettant d'évaluer le salarié régulièrement tout au long de sa carrière dans l'entreprise (logiciel d'auto-évaluation) doit également faire l'objet d'une déclaration à la Cnil et d'une information des représentants du personnel (voir l'encadré).
La paie. L'utilisation de traitement automatisé des salaires appelle une déclaration simplifiée à la Cnil. Le récépissé de déclaration doit être tenu à la disposition de l'inspecteur du travail.
Les déclarations officielles
Une fois les personnes concernées contactées (délégués ou représentant du personnel, inspecteur du travail...), et la mise en place de l'outil arrêtée, contactez la Cnil s'il y a lieu, avant de le mettre en oeuvre.
Vérifiez s'il doit y avoir déclaration ou non. Si un doute subsiste, consultez le Guide de l'employeur disponible le site www.cnil.fr (suivre les liens : Approfondir > Dossiers > Travail).
Déclarez le fichier, soit en ligne sur le site www.cnil.fr (suivre le lien Déclarer), soit par courrier (Cnil 8, rue Vivienne 75083 Paris Cedex 02). Après avoir vérifié que votre dossier de déclaration est complet, la Cnil vous délivrera un récépissé de déclaration : c'est le feu vert pour la mise en oeuvre du fichier ou du traitement de données personnelles. Ce récépissé de déclaration indique le numéro sous lequel un traitement déclaré est enregistré à la Cnil. Idéalement, reportez-le sur le document d'information destiné aux salariés.
Bon à savoir: Notez que l'utilisation de certains progiciels fait l'objet de déclarations simplifiées (ex.: les logiciels de paie).
Attention ! Le non-accomplissement des formalités déclaratives est sanctionné de 5 ans d'emprisonnement et de 300 000 €e d'amende (art. 226-16 du code pénal).
Désignation d'un correspondant
Soucieux d'alléger l'accomplissement des formalités déclaratives auprès de la Cnil, les législateurs ont autorisé les entreprises à assigner un correspondant informatique et liberté (CIL) à cette tâche (loi du 6 août 2004).
Qui peut-il être? Celui-ci doit obligatoirement être salarié de l'entreprise s'il s'agit d'une structure de plus de 50 personnes ; il est possible de faire appel à un professionnel indépendant dans les autres cas.
Quel intérêt pour l'entreprise? Chargé de veiller au respect des lois en matière de surveillance des hommes (salariés mais aussi partenaires : clients, fournisseurs...), il dispense l'entreprise de procéder à certaines déclarations. Il s'agit notamment des traitements mis en place pour gérer les contrôles d'accès aux locaux, les horaires, les ressources humaines, etc.
Certains traitements relevant de déclarations « normales » en sont également dispensés. Sont notamment visés les traitements informatiques permettant un contrôle de l'activité professionnelle des salariés (ex. : vidéosurveillance, contrôle des connexions internet, géolocalisation).
En revanche, les traitements soumis à autorisation n'en sont pas dispensés. Tel est le cas, entre autres, des dispositifs biométriques.
Pour en savoir plus: www.cnil.fr (suivre les liens : Approfondir > Dossiers > Correspondants).
Pour éviter tout litige avec les salariés, vous pouvez également fixer dans un document (Charte d'utilisation des NTIC, Code de conduite des NTIC, etc.) les conditions d'usage des outils informatiques dans l'entreprise. Rédigé en concertation avec les instances représentatives du personnel, ce règlement permettra de fixer les règles internes de déontologie et de sécurité relatives à l'utilisation de l'informatique et des réseaux ; et répondra à l'exigence légale d'information des salariés.
