Actualité : article de veille

Mise en place par l'employeur d'un traitement de données à caractère personnel dans le cadre du plan de continuité de l'activité

Le 25/09/2009 par La Rédaction de Net-iris, dans Technologies / Sécurité & Protection.

Vos réactions...


Introduction

Début septembre, la Commission nationale informatique et libertés (CNIL) a délivré des conseils pratiques aux entreprises mettant en place un plan de continuité de l'activité (PCA), afin de se préparer à une épidémie grippale de grande ampleur (type grippe AH1N1) au regard de la protection des données personnelles. Les employeurs peuvent être amenés à demander à leurs salariés certaines informations personnelles telles que leurs coordonnées privées, afin de pouvoir les contacter à tout moment. Dans ce cadre, la CNIL avait indiqué que si ces demandes étaient légitimes et entourées de précautions, il n'était pas nécessaire de déclarer le traitement de données.

Par une délibération (n°2009-476) du 10 septembre 2009, la CNIL confirme la dispense de déclaration des traitements de données à caractère personnel mise en oeuvre dans le cadre de plans de continuité d'activité relatifs à une pandémie grippale, établis par des employeurs publics et privés.

Les finalités du traitement

Toutefois, elle précise que le traitement ne peut avoir pour seules fonctions :
- de contribuer à l'élaboration d'un plan de continuité d'activité (PCA) dans le contexte d'une pandémie grippale en identifiant les personnes susceptibles d'être indisponibles en raison de leur situation familiale ou/et de leur mode de déplacement ;
- dans le cadre du suivi du PCA, de prévenir les personnels des mesures prises par l'organisme ;
- de réaliser tous traitements statistiques non nominatifs liés à l'élaboration et à l'activation du plan dans l'entreprise.
Le traitement ne peut pas être utilisé pour la gestion courante du personnel.

Comme pour toute collecte d'informations personnelles, toutes les mesures doivent être prises pour garantir la confidentialité des données, s'agissant en particulier de leurs modalités de recueil :
- communication des données personnelles par le salarié sur la base du volontariat
- renvoi direct sous pli ou par mail à la personne désignée au sein du service des ressources humaines.

La conservation de ces données, doit aussi être sécurisée. L'accès à ces données doit être exclusivement réservé aux personnes habilitées du service des ressources humaines ou à la cellule de crise constituée au sein de l'entreprise.

Les informations traitées

Le traitement doit se limiter aux données suivantes :

  • Pour l'identité :
    - nom, nom marital, prénoms, adresse personnelle, coordonnées téléphoniques personnelles, e-mail personnel
  • Pour la situation familiale :
    - présence au foyer d'enfants à charge de moins de trois ans, présence au foyer d'enfants à charge scolarisés (école maternelle et école primaire), autres contraintes personnelles pouvant empêcher de se rendre sur son lieu de travail en cas de pandémie (telles que parents à charge).
    Ici, les données collectées doivent se limiter à des réponses par "oui" ou "non" aux questions posées.
  • Pour la vie professionnelle :
    - lieu de travail, numéro d'identification interne (à l'exclusion du NIR), emploi occupé et coefficient hiérarchique, caractéristiques du poste (tels que contact avec le public, déplacements fréquents) et, à titre indicatif, volontaire pour travailler à distance en cas de pandémie.
  • Pour les moyens de déplacement des personnes :
    - mode de transport habituel, mode de transport alternatif.
  • Pour l'utilisation de matériel informatique (si les fonctions l'exigent) :
    - compétences informatiques, équipement informatique personnel, accès à internet à domicile.

L'information des salariés

Les salariés concernés par les traitements sont informés de l'existence du traitement informatique et de sa finalité. Ils doivent également être informés des services destinataires des informations et des modalités pratiques d'exercice de leur droit d'accès aux informations qui les concernent.

Il est recommandé d'indiquer sur le formulaire de collecte des données, les informations suivantes :

"Afin d'établir le "plan de continuité d'activité" (PCA) de l'entreprise, préconisé par les pouvoirs publics dans le cadre du plan national de prévention et de lutte "pandémie grippale", nous souhaitons recueillir vos coordonnées personnelles afin de pouvoir vous joindre (téléphone fixe ou portable, email personnel) ainsi que les moyens de transport que vous utilisez pour vous rendre sur votre lieu de travail.

Nous vous recommandons de nous transmettre ces informations afin de pouvoir vous prévenir et organiser la continuité de notre activité, en cas de pandémie grippale avérée, conformément aux préconisations des pouvoirs publics.

Les destinataires de ces données sont exclusivement les personnes habilitées du service du personnel (ou de la cellule de crise).

Conformément à la loi "informatique et libertés" du 6 janvier 1978 modifiée en 2004, vous pouvez accéder à ces informations et les faire rectifier en vous adressant à ………………………… (préciser le service en question et son adresse)."

Quelle est la durée de conservation des données ?

Aucune durée précise n'est exigée.
En fait, les données collectées ne peuvent faire l'objet d'un traitement que lorsque la France atteint le seuil d'alerte de situation 4 (cas groupés humains) conformément aux phases de nomenclature du plan national français (depuis le début de l'état la France est en phase 5A du plan national).
Dès que la situation épidémiologique de la France se conclut par la situation 7 (la fin de la pandémie), le traitement des données nominatives doit être supprimé. La conservation peut donc durer près de 6 mois par exemple.

Quels sont les destinataires de ces données ?

Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires de tout ou partie des informations :
- les personnes habilitées des services chargés de la gestion du personnel
- le cas échéant, les personnes habilitées en charge de la cellule de crise mise en place au sein de l'organisme.

© 2009 Net-iris

Pour approfondir ce sujet :

Commentaires et réactions :