Actualité : article de veille

Recommandations de la CNIL concernant l'établissement d'un plan de continuité de l'activité

Le 02/09/2009 par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...


Introduction

La Commission nationale informatique et libertés (CNIL) délivre des conseils pratiques aux entreprises mettant en place un plan de continuité de l'activité, afin de se préparer à une épidémie grippale de grande ampleur (type grippe AH1N1) au regard de la protection des données personnelles.

En effet, ces établissements peuvent être amenés à demander à leurs salariés certaines informations personnelles telles que leurs coordonnées privées, afin de pouvoir les contacter à tout moment (information concernant un collègue de travail venant d'être diagnostiqué comme étant porteur du virus, demande de remplacement d'un autre salarié absent afin d'éviter la désorganisation du service, changement et adaptation des horaires, etc.). Selon la CNIL, si ces demandes sont légitimes, elles doivent cependant être entourées de précautions.

Exemples de bonnes pratiques

Dans le cadre de l'établissement d'un PCA, conformément aux recommandations délivrées par les pouvoirs publics, les entreprises peuvent être amenées à recenser, notamment, les coordonnées personnelles des salariés ainsi que le type de moyens de transport qu'ils utilisent.

Pour la Commission, "cette collecte ne pose pas de difficultés particulières dès lors que les salariés sont bien informés de la finalité de ce recueil et des destinataires de ces informations", explique t-elle dans un communiqué.

Cependant, une mention d'information particulière doit figurer sur le formulaire de collecte.

Comme pour toute collecte d'informations personnelles, toutes les mesures doivent être prises pour garantir la confidentialité des données, s'agissant en particulier de leurs modalités de recueil :
- communication des données personnelles par le salarié sur la base du volontariat
- renvoi direct sous pli ou par mail à la personne désignée au sein du service des ressources humaines.

La conservation de ces données, doit aussi être sécurisée. L'accès à ces données doit être exclusivement réservé aux personnes habilitées du service des ressources humaines ou à la cellule de crise constituée au sein de l'entreprise.

Notons que si le recueil de ces informations se limite aux coordonnées personnelles des salariés et à la seule indication des moyens de transport utilisés, il n'y a pas lieu de déclarer les fichiers ainsi constitués dès lors que l'entreprise a désigné un correspondant informatique et libertés ou a déclaré son fichier de gestion du personnel (norme simplifiée n°46).

Exemple de mention d'information à faire figurer sur le formulaire de collecte

"Afin d'établir le "plan de continuité d'activité" (PCA) de l'entreprise, préconisé par les pouvoirs publics dans le cadre du plan national de prévention et de lutte "pandémie grippale", nous souhaitons recueillir vos coordonnées personnelles afin de pouvoir vous joindre (téléphone fixe ou portable, email personnel) ainsi que les moyens de transport que vous utilisez pour vous rendre sur votre lieu de travail.

Nous vous recommandons de nous transmettre ces informations afin de pouvoir vous prévenir et organiser la continuité de notre activité, en cas de pandémie grippale avérée, conformément aux préconisations des pouvoirs publics.

Les destinataires de ces données sont exclusivement les personnes habilitées du service du personnel (ou de la cellule de crise).

Conformément à la loi "informatique et libertés" du 6 janvier 1978 modifiée en 2004, vous pouvez accéder à ces informations et les faire rectifier en vous adressant à ………………………… (préciser le service en question et son adresse)."

© 2009 Net-iris

Pour approfondir ce sujet :

Commentaires et réactions :