CNIL, 5 décembre 2013, 2013-381
Mots clés
société • discrimination • saisie • rapport • contrat • étranger • syndicat • rectification • terme • tiers
Chronologie de l'affaire
Synthèse
- Juridiction : CNIL
- Numéro de pourvoi :2013-381
- Nature de la délibération : Autre autorisation
- État juridique : VIGUEUR
- Nature : Délibération
- Identifiant Légifrance :CNILTEXT000028464659
Voir plus
Chronologie de l'affaire
CNIL
5 décembre 2013
Résumé
Vous devez être connecté pour pouvoir générer un résumé.
Partie demanderesse
Partie défenderesse
Suggestions de l'IA
Texte intégral
(Demande d'autorisation n° 1653100)
La Commission nationale de l'informatique et des libertés ;
Saisie par
la société JLO Conseil d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d'un dispositif d'alerte professionnelle ;Vu
la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 6-3° et 25-I-4° ; Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; Vu la délibération de la CNIL n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU004), telle que modifiée le 14 octobre 2010 ; Vu le dossier et ses compléments ; Sur la proposition de Monsieur Emmanuel de GIVRY, commissaire, et après avoir entendu les observations de Monsieur Jean-Alexandre SILVY, commissaire du Gouvernement ;Formule les observations suivantes
: A titre liminaire, la Commission rappelle qu'elle a adopté, le 8 décembre 2005, une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle. Elle observe que le traitement objet de la présente délibération ne répond pas aux conditions prévues par cette autorisation unique s'agissant du fondement juridique et du champ d'application du dispositif. La Commission doit, par conséquent, procéder à une analyse spécifique du traitement soumis à son appréciation, au regard des principes relatifs à la protection des données à caractère personnel et, notamment, de l'article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. Sur le responsable du traitement La Commission est saisie d'une demande d'autorisation par la société par actions simplifiée JLO Conseil domiciliée au 598 Boulevard Albert Camus à Villefranche sur Saône. La société JLO Conseil appartient au groupe JLO constituée de trois sociétés de conseil. La société JLO Conseil a obtenu le label diversité le 19 octobre 2012 pour une durée de quatre ans. Dans ce cadre, une mission « diversité » a été créée et est composée de deux personnes qui seront amenées à recueillir, qualifier et traiter les demandes des personnes concernées dans le périmètre de la société JLO Conseil. Le label diversité a été créé par le décret n°2008-1344 du 17 décembre 2008. Il s'inscrit dans la politique gouvernementale de prévention des discriminations et de promotion de la diversité. Le ministère de l'intérieur, qui a repris les attributions de l'ancien ministère de l'immigration et de l'intégration, est désormais responsable de sa mise en œuvre en collaboration avec l'AFNOR Certification. Le label diversité a pour objectifs de promouvoir la diversité et la prévention des discriminations, d'une part, et de valoriser les meilleures pratiques en matière de recrutement et d'évolution professionnelle au sein des organismes, d'autre part. Le cahier des charges de l'AFNOR préconise notamment la mise en place d'outils permettant d'« identifier les plaintes et réclamations internes ou externes » et, de manière générale, d'assurer la traçabilité des signalements. Sur la finalité Au regard du cahier des charges de l'AFNOR précité, la société JLO Conseil a déposé un dossier de demande d'autorisation préalablement à la mise en œuvre d'un dispositif de traitement de données à caractère personnel permettant à ses employés, par l'intermédiaire d'une cellule d'écoute téléphonique, de signaler à un référent diversité des faits de discriminations dont ils pensent être victimes. La Commission considère qu'il y a lieu de faire application des dispositions de l'article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire. L'analyse des caractéristiques du traitement objet de la présente demande d'autorisation fait apparaître une différence par rapport à l'AU-04 qui doit dès lors être soumise à l'examen de la Commission. En effet, la société JLO Conseil n'est soumise à aucune disposition législative ou réglementaire de droit français ou étranger imposant la mise en place d'un dispositif d'alerte professionnelle. La Commission relève que le dispositif présenté s'inscrit dans le cadre des textes internationaux, européens et nationaux afférents à la prévention des discriminations, à l'égalité des chances et à la promotion de la diversité dans le domaine de la gestion des ressources humaines. Elle constate que les faits susceptibles d'être recueillis dans le cadre de ce dispositif sont strictement limités aux alertes en matière de discrimination supposée. La Commission estime, dès lors, que le dispositif d'alerte qui lui est présenté est limité dans son champ et répond à l'intérêt légitime du responsable du traitement. La Commission rappelle que l'utilisation d'un dispositif d'alerte professionnelle doit demeurer facultative et complémentaire par rapport aux autres voies légales de remontée de réclamations, notamment par l'intermédiaire des instances représentatives du personnel habilitées par le Code du travail à recueillir les réclamations des salariés. Sur les données traitées Les données susceptibles d'être collectées concernent les victimes supposées d'une discrimination. Elles sont collectées directement auprès de ces dernières et sont relatives à : leur identification (nom, prénom, adresse, date et lieu de naissance) ; leur vie personnelle (habitude de vie, situation familiale) ; leur vie professionnelle (situation professionnelle, scolarité, formation) ; le ou les critères légaux de discrimination ressentie (sexe, âge, santé, origine raciale ou ethnique, opinion politique, philosophique ou religieuse, appartenance syndicale, vie sexuelle). La Commission relève que seul le critère général de discrimination supposé sera collecté dans le présent traitement, à l'exclusion de toute précision telle que, par exemple, le rite religieux observé, la nature d'une pathologie ou la dénomination d'un syndicat. Elle relève également que les communications téléphoniques ne seront pas enregistrées. La Commission considère, dès lors, que le traitement des données précitées est adéquat, pertinent et non excessif au regard de la finalité poursuivie. Sur les destinataires Seuls les deux référents diversité du groupe JLO sont destinataires des données du présent traitement. La Commission considère que ces destinataires ont un intérêt légitime à y accéder. Sur l'information et le droit d'accès Les personnes concernées par le présent traitement sont informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par une diffusion sur l'intranet du groupe JLO. Par ailleurs, la Commission relève que les personnes éventuellement mises en cause seront informées dès l'enregistrement de leurs données après vérification, et font l'objet d'un entretien confidentiel. Les droits d'accès et de rectification s'exercent auprès de la Responsable RSE du Groupe JLO. Sur les mesures de sécurité Des mesures de sécurité sont prises afin de préserver la sécurité et la confidentialité des données et, notamment, empêcher que des tiers non autorisés y aient accès. Les accès au système d'information et les opérations effectuées sur les supports d'enregistrement des données sont tracées. Les mesures de sécurité envisagées n'appellent pas d'observations de la Commission au regard de l'article 34 de la loi du 6 janvier 1978 modifiée. Sur les autres caractéristiques du traitement Sur le traitement de l'identité de l'émetteur La Commission considère que l'obligation de s'identifier pour la personne à l'origine de l'alerte est de nature à limiter les risques de mise en cause abusive ou disproportionnée de l'intégrité professionnelle, voire personnelle des personnes concernées. Les données relatives à une alerte considérée dès son recueil comme n'entrant pas dans le champ du dispositif sont détruites ou archivées sans délai. Lorsque l'alerte n'est pas suivie d'une procédure disciplinaire ou judiciaire, les données relatives à cette alerte sont détruites ou archivées dans un délai de deux mois à compter de la clôture des opérations de vérification. Lorsqu'une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données relatives à l'alerte sont conservées par l'organisation chargée de la gestion des alertes jusqu'au terme de la procédure. Les données faisant l'objet de mesures d'archivage sont conservées, dans le cadre d'un système d'information distinct à accès restreint, pour une durée n'excédant pas les délais de procédures contentieuses.Autorise, conformément à la présente délibération
, la société JLO Conseil à mettre en œuvre le traitement susmentionné. La Présidente Isabelle FALQUE-PIERROTINCommentaires sur cette affaire
L'accès aux commentaires est réservé aux utilisateurs premium.
Note...