∎ Journal officiel du 1er mars 2005
Délibération no 2005-19 du 3 février 2005 portant création dune norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de lutilisation de services de téléphonie fixe et mobile sur les lieux de travail (norme simplifiée no 47) et portant abrogation de la norme simplifiée no 40
NOR : CNIX0508102X
La Commission nationale de linformatique et des libertés,
Vu la convention no 108 du Conseil de lEurope du 28 janvier 1981 pour la protection des personnes à légard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/47/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à légard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu les lois no 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, no 84-16 du 11 janvier 1984 portant dispositions statutaires relatives à la fonction publique de lEtat, no 84-53 du 26 janvier 1984 portant dispositions statutaires relatives à la fonction publique territoriale et no 86-33 du 9 janvier 1986 portant dispositions statutaires à la fonction publique hospitalière ;
Vu la loi no 78-17 du 6 janvier 1978 relative à linformatique, aux fichiers et aux libertés, modifiée par la loi no 2004-801 du 6 août 2004 relative à la protection des personnes physiques à légard des traitements de données à caractère personnel ;
Vu le code des postes et des communications électroniques ;
Vu le code du travail ;
Vu larrêté du 1er février 2002 relatif aux factures des services téléphoniques ;
Vu la délibération de la CNIL no 94-113 du 20 décembre 1994 portant adoption dune norme simplifiée concernant les traitements automatisés dinformations nominatives mis en oeuvre à laide dautocommutateurs téléphoniques sur les lieux de travail (norme simplifiée no 40) ;
Après avoir entendu M. Didier Gasse, commissaire, en son rapport, et Mme Catherine Pozzo di Borgo, commissaire adjoint du Gouvernement, en ses observations,
Formule les observations suivantes :
En application des articles 11 et 24-I de la loi du 6 janvier 1978 modifiée, la CNIL est habilitée à édicter des normes simplifiées concernant certains traitements automatisés de données à caractère personnel.
Pour lapplication de larticle 24-I susvisé, il faut entendre par norme simplifiée un texte à valeur réglementaire définissant lensemble des conditions que doit remplir une catégorie courante de traitements pour être regardée comme ne comportant manifestement pas de risques datteinte à la vie privée et aux libertés et comme pouvant, dès lors, faire lobjet dune déclaration simplifiée de conformité.
La mise à disposition au bénéfice des employés dune ligne téléphonique, fixe ou mobile, conduit lemployeur public ou privé à disposer des données relatives à lutilisation de ce moyen de communication, que ces données soient issues de la mise en place dun autocommutateur téléphonique (téléphonie fixe) ou de leur transmission par lopérateur auprès duquel lorganisme est client (téléphonie fixe ou mobile).
Lutilisation dun service de téléphonie mobile par les employés dun organisme public ou privé peut conduire celui-ci à traiter informatiquement les données issues de lutilisation de ces services, que ces données soient resaisies par lentreprise ou lorganisme privé et public à partir des factures papier envoyées par lopérateur, quelles soient transférées par voie électronique par lopérateur ou encore quelles soient accessibles à lorganisme par lintermédiaire du site web de lopérateur.
Les dispositions du code des postes et des communications électroniques permettent aux clients dun opérateur de recevoir une facturation détaillée qui nindique pas les quatre derniers chiffres des numéros appelés, à moins que le client nait expressément demandé que cela soit le cas. Dès lors, une entreprise ou un organisme privé et public peut avoir accès, soit par lintermédiaire de lautocommutateur quil aura mis en place, soit par lintermédiaire de lopérateur auprès duquel il est client, à lintégralité des numéros de téléphone appelés.
Si les autocommutateurs permettent la collecte systématique, et à son insu, des données relatives à lidentification de lappelant, une telle collecte est contraire à larticle 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données sont collectées et traitées de manière loyale et licite.
Les traitements mis en oeuvre dans le cadre de lutilisation des services de téléphonie ne doivent pas entraver lexercice des droits reconnus par la loi en matière de droits et libertés des employés protégés.
La mise à disposition de services de communications téléphoniques au sein dune entreprise ou dun organisme privé et public est essentiellement destinée à satisfaire les besoins de fonctionnement de lorganisme mais, toutefois, un usage raisonnable par les employés à des fins privées de ces moyens de communication est admis.
Les numéros de téléphone constituent des données à caractère personnel au sens de larticle 2 de la loi du 6 janvier 1978 modifiée. En conséquence, lorsque les numéros appelés sont enregistrés ou traités dans un fichier informatique, lopération qui est ainsi faite constitue un traitement automatisé de données à caractère personnel soumis aux formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978 modifiée.
Après avoir recueilli les observations des représentants des organisations professionnelles demployeurs et demployés et des ministères concernés,
Décide :
Dabroger la norme simplifiée no 94-113 du 20 décembre 1994 portant adoption dune norme simplifiée concernant les traitements automatisés dinformations nominatives mis en oeuvre à laide dautocommutateurs téléphoniques sur les lieux de travail (norme simplifiée no 40) ;
Dadopter une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de lutilisation de services de téléphonie fixe ou mobile sur les lieux de travail (norme simplifiée no 47) dont le contenu est le suivant :
Art. 1er. - Pour les entreprises ou organismes privés et publics, la déclaration simplifiée effectuée en référence à la présente norme remplace la déclaration simplifiée effectuée en référence à la norme simplifiée no 40.
Art. 2. - Finalités.
Seuls peuvent être déclarés en référence à la présente norme les traitements mis en oeuvre par les entreprises ou organismes privés et publics pour les finalités suivantes :
a) La gestion de la dotation en matériel téléphonique et la maintenance du parc téléphonique ;
b) La gestion de lannuaire téléphonique interne, à savoir la constitution, lédition et la diffusion de listes nominatives des utilisateurs des services téléphoniques ;
c) La gestion technique de la messagerie interne de lorganisme ;
d) Le remboursement des services de téléphonie utilisés à titre privé par les employés lorsque le caractère privé de lutilisation de ces services est déterminé par les employés eux-mêmes ;
e) La maîtrise des dépenses liées à lutilisation professionnelle des services de téléphonie, à savoir létablissement et lédition des relevés liés à lutilisation des services de téléphonie, le calcul du coût de cette utilisation et létablissement de statistiques anonymes ;
f) La maîtrise des dépenses liées à lutilisation effectuée à titre privé des services de téléphonie, dans les conditions prévues à larticle 6 de la présente norme.
Les traitements concernés par la présente norme sont exclusifs de tout dispositif permettant lécoute ou lenregistrement dune communication ou la localisation dun employé à partir de lusage de son téléphone mobile.
Art. 3. - Informations collectées et traitées.
Peuvent seules être collectées et traitées les données suivantes :
a) Identité de lutilisateur du service téléphonique : nom, prénom et numéro de ligne ;
b) Situation professionnelle : fonction, service, adresses professionnelles y compris électroniques ;
c) Utilisation des services de téléphonie : numéro de téléphone appelé, service utilisé, opérateur appelé, nature de lappel (sous la forme : local, départemental, national, international), durée, date et heure de début et de fin dappel, éléments de facturation (nombre de taxes, volume et nature des données échangées à lexclusion du contenu de celles-ci et coût du service utilisé).
Lorsque des relevés justificatifs des numéros de téléphone appelés sont établis, les quatre derniers chiffres de ces numéros sont occultés, à lexception des hypothèses prévues à larticle 6 de la présente norme.
Art. 4. - Durée de conservation.
Les données à caractère personnel relatives à lutilisation des services de téléphonie ne peuvent être conservées au-delà du délai prévu à larticle L. 34-2 du code des postes et des communications électroniques, à savoir un an courant à la date de lexigibilité des sommes dues en paiement des prestations des services de téléphonie.
Art. 5. - Destinataires des informations.
En fonction des finalités retenues à larticle 2, les destinataires des informations peuvent être :
- pour les données relatives à lannuaire téléphonique : lensemble du personnel ;
- pour les données relatives à la messagerie interne : le titulaire du compte de messagerie concerné ;
- pour les données relatives à la consommation des services téléphoniques : les personnels habilités des services comptables ou financiers chargés de lélaboration des relevés de communication, les agents disposant du poste téléphonique concerné et, dans les conditions prévues à larticle 6 de la présente norme, les supérieurs hiérarchiques des personnels concernés et les personnels du service du personnel, en cas dutilisation manifestement abusive constatée à loccasion de létablissement des relevés non détaillés.
- pour lensemble des données : les personnels des services techniques chargés de la mise en oeuvre et de la maintenance du service téléphonique dans le strict cadre de leurs attributions.
Les destinataires assurent la stricte confidentialité des données à caractère personnel en leur possession.
Art. 6. - Utilisation des relevés justificatifs complets des numéros de téléphone appelés ou des services de téléphonie utilisés.
Une entreprise ou un organisme privé et public peut éditer, soit par lintermédiaire de lautocommutateur quil aura mis en place, soit par lintermédiaire de lopérateur auprès duquel il est client, lintégralité des numéros de téléphone appelés ou le détail des services de téléphonie utilisés dans les deux cas suivants :
Dans le cas où un remboursement est demandé aux employés pour les services de téléphonie utilisés à titre privé, lorsque le montant demandé est contesté par lemployé auquel il se rapporte, un relevé justificatif complet des données relatives à lutilisation des services de téléphonie comprenant lintégralité des numéros de téléphone appelés peut être établi à des fins de preuves.
Dans le cas où lemployeur constate une utilisation manifestement anormale au regard de lutilisation moyenne constatée au sein de lentreprise ou de lorganisme privé et public des services de téléphonie, un relevé justificatif complet des numéros de téléphone appelés ou des services de téléphonie utilisés peut être établi de façon contradictoire avec lemployé concerné.
Art. 7. - Respect des droits et libertés des employés protégés.
Des mesures particulières doivent être prises afin que les conditions de mise en oeuvre et dutilisation des services de téléphonie nentravent pas lexercice des droits reconnus par la loi en matière de droits et libertés des réprésentants des personnels et des employés protégés.
A cet effet, ils doivent pouvoir disposer dune ligne téléphonique excluant toute possibilité dinterception de leurs communications ou didentification de leurs correspondants.
Art. 8. - Sécurités.
Des mesures de sécurité physique et logique doivent être prises afin de préserver la sécurité du traitement et des informations, dempêcher quelles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
Art. 9. - Information et droit daccès.
Linformation des utilisateurs sur les finalités et les fonctions des traitements mis en oeuvre sur les destinataires des informations et sur les modalités dexercice de leur droit daccès et de rectification doit être assurée par tout moyen approprié, notamment par voie daffichage ou de diffusion de note explicative préalablement à la mise en fonction de ce traitement.
En particulier, lorsque lentreprise, ladministration ou lorganisme envisage de mettre en oeuvre un suivi individuel de lutilisation des services de télécommunications, dans le respect des dispositions de la présente norme, il doit être procédé à la consultation des instances représentatives du personnel conformément aux textes en vigueur.
Art. 10. - Publication au Journal officiel.
La présente délibération sera publiée au Journal officiel de la République française.
Fait à Paris, le 3 février 2005.
Le président, A. Türk |