Rapport CNIL 2013 : quels enseignements pratiques pour vous, entreprise ou organisation. Le rapport 2013 de la CNIL a été publié et il est riche d’enseignements.
Il a donné lieu à un communiqué de presse qui permet de prendre connaissance de son résumé et des points sur lesquels la CNIL veut insister. L’objectif de ce billet n’est pas de redire ce que la CNIL a indiqué, que ce soit dans son résumé ou le rapport lui-même. Le but du billet est de mettre l’accent sur deux enseignements essentiels et trois enseignements opérationnels pour les entreprises et les organisations (collectivités territoriales, syndicats, etc.) qui gèrent des données personnelles. Du côté des alertes, la CNIL a procédé à 414 contrôles en 2013. En plus, elle peut, depuis la loi Hamon de mars 2014 effectuer des contrôles à distance (article 44 de la loi de 1978).
A côté du processus répressif, la CNIL veut développer l’auto-régulation avec des outils comme la nomination des correspondants informatique et libertés et la mise en place de règles internes (les « binding corporate rules »). En savoir plus. Le répertoire « Mes Documents » n’est pas personnel… selon la Cour de cassation. Après plusieurs années de jurisprudence, l’équilibre atteint par la Cour de cassation semble être le suivant : Les fichiers enregistrés par le salarié sur l’ordinateur mis à sa disposition par l’employeur sont présumés avoir un caractère professionnel.
L’employeur est en droit de les ouvrir (Cour de cassation, chambre sociale, 21 octobre 2009, n°07-43877). A l’inverse, l’employeur ne peut pas consulter les fichiers identifiés comme personnels. Il faut qu’il convoque son salarié pour le faire devant lui. Toute la question est donc de savoir comment on distingue un fichier personnel d’un autre… Par exemple, le fait de nommer un fichier avec son prénom ou ses initiales ne suffit pas à donner à ce fichier un caractère personnel (Cour de cassation, chambre sociale, 8 décembre 2009 n°08-44840 et 21 octobre 2009 n°07-43877) . - si l’employé est prévenu mais ne se présente pas ; - si l’employeur peut justifier d’un « risque ou événement particulier ». Un salarié contestait son licenciement. BYOD : la charte informatique encore plus nécessaire » Droit de l'informatique, internet et télécoms. La tendance actuelle pour les salariés est d’utiliser leurs interfaces numériques personnelles dans l’exécution de leurs fonctions professionnelles.
Cette tendance porte le nom de BOYD (Bring Your Own Device) et soulève de nombreuses interrogations sur le plan légal. Quelles sont les précautions juridiques que doit prendre l’employeur face au développement du BOYD ? L’employeur doit être conscient des obligations légales qui lui incombent s’il encourage ou tolère une telle pratique dans son entreprise. D’après les lois HADOPI, l’employeur doit s’assurer que les employés utilisent le réseau conformément à la législation sur la propriété intellectuelle. Si le salarié télécharge un contenu contrefaisant via le réseau Internet de l’entreprise, l’employeur sera responsable. L’employeur doit veiller à respecter la vie privée de ses employés. Les difficultés que soulève le BYOD se traitent efficacement grâce à l’introduction d’une charte informatique en annexe du règlement intérieur. La milliardaire, sa fille et le maître d’hôtel : vie privée/vie publique ou vie pro/vie perso ? » Droit de l'informatique, internet et télécoms.
L’arrêt de la Cour de Cassation rendu le 6 octobre 2011 va d’abord intéresser le lecteur par la qualité des personnes concernées : Mme Bettencourt, sa fille et le maître d’hôtel.
Mais pour le juriste, il est surtout intéressant parce qu’il peut annoncer un changement essentiel de la jurisprudence de la chambre sociale de la Cour de Cassation. Dans cette affaire, tout le monde sait qu’à l’été 2010, des conversations qui avaient été enregistrées par le maître d’hôtel de Mme Bettencourt ont été publiés dans le journal Le Point. Mme Bettencourt a saisi une juridiction pour que cette publication soit interdite et a perdu notamment devant la cour d’appel de Paris par un arrêt du 23 juillet 2010.
Mais dans cet arrêt de la Cour de Cassation, le principe du respect de la vie privée a été préféré au droit à l’information du public. Ce n’est pas cet aspect de l’arrêt qui sera commenté ici. Il est assez peu fréquent que dans le cadre de ce blog je fasse état de mon opinion. En savoir plus.