Smartphones, ordinateurs portables, tablettes, intranet, cloud, messageries, agendas partagés, data, réseaux sociaux… Les outils digitaux font aujourd’hui partie intégrante de notre quotidien. Nous sommes connectés en permanence, partout, et cela modifie profondément notre façon de travailler.
En utilisant ces outils, chaque salarié devient producteur de données numériques et se retrouve objet de rationalisation, de contrôle. L’utilisation toujours plus importante des technologies de l’information et de la communication (TIC) dans le contexte professionnel provoque une intensification de la collecte de données qui représentent un énorme enjeu, économique notamment. Les grands acteurs du marché se livrent une guerre sans merci pour le leadership du secteur… Ce contexte ultra-concurrentiel doit être bordé de garde-fous solides pour que soit respecté un droit fondamental des travailleurs, la préservation de leur vie privée et de leurs libertés.
De ce fait, la digitalisation du travail est au cœur des préoccupations de notre syndicat. FOCom a pour objectif de donner les moyens au personnel de résister aux dérives liées à l’utilisation de ces données et à l’intrusion dans leur vie privée. Lors de la table ronde qu’elle organisait le 21 juin 2016 la Commission Cadres de FOCom Orange a abordé la question de la protection de ces données et du contrôle de l’utilisation qui en est faite. Éric Pérès, vice-président de la Commission Nationale de l’Informatique et des Libertés (CNIL) et Secrétaire FO de l’Union des Cadres et Ingénieurs, venait à cette occasion présenter le contenu de la loi de 1978 qui encadre toujours l’utilisation des outils numériques. Bref compte rendu.
Vous avez dit données personnelles ?
Adresse IP, mail, numéro de sécurité sociale, identifiant unique de cookie, numéro de carte bancaire, numéro de compte client, numéro de téléphone, taille, âge, sexe… Ce sont autant de données qui, croisées entre elles, vont permettre d’identifier directement ou indirectement une personne. Dans un jeu de données (dataset en anglais) de plusieurs millions de connexions anonymes, il suffit de 3 points d’identification pour retrouver quelqu’un. Par contre, si une entreprise « anonymise » toutes les données pour faire disparaître ce qui identifie les personnes pour n’en faire que des agrégats statistiques alors ce ne sont plus des données à caractère personnel. La distinction est essentielle.
D’où vient la CNIL ?
La Commission Nationale Informatique et Libertés (CNIL) est née en 1978 après l’affaire SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) révélée en mars 1974 par le quotidien Le Monde. Il s’agissait d’un projet gouvernemental qui visait à ficher les citoyens à travers leur numéro de Sécurité Sociale et permettait d’accéder à toutes les informations sur une personne. S’éleva une vive opposition contre cette atteinte aux libertés et c’est à la suite de cet événement que la CNIL fut créée avec la loi relative à l’informatique, aux fichiers et aux libertés no 78-17 du 6 janvier 1978 modifiée le 6 août 2004.
Cette loi constitue le fondement de la protection des données à caractère personnel dans les traitements informatiques. C’est une prise de conscience que l’on commence à rentrer dans l’ère de la donnée, de l’information mais surtout de l’interopérabilité des fichiers et que, pour prévenir les dérives, il faut des garde-fous. À l’époque, l’administration centralisée était seule assez puissante pour produire des fichiers. Aujourd’hui ce sont les acteurs économiques d’emprise planétaire comme Google, Amazon, Facebook, Apple… (GAFA) qui en font un enjeu économique majeur. Ces données ont aujourd’hui une valeur marchande considérable : ciblage des opérations de commercialisation et des publicités sur le Web avec les cookies, revente des données personnelles à des tiers… La loi de 78 protège les salariés, à condition d’en connaître le cadre. Le traitement des données à caractère personnel n’est pas interdit mais il est régi par 5 grands principes à respecter.
1. La définition d’un objectif
Lorsque l’on collecte des données à caractère personnel, la question à se poser est : pour en faire quoi ? Quelle en est la finalité ? Elle doit être déterminée, on doit dire précisément à quoi sert ce traitement. Et une fois défini, ça ne peut pas servir à autre chose. Si la CNIL contrôle ou si une organisation syndicale observe que l’on utilise un fichier pour autre chose, il peut y avoir des sanctions.
2. La pertinence
Les informations collectées et enregistrées doivent être pertinentes et strictement nécessaires à l’objectif poursuivi. Il faut se demander si les données collectées sont bien adéquates. Si on veut connaître la mixité sociale d’un groupe, on va se renseigner sur le sexe des individus, et pas sur l’âge ou l’orientation sexuelle qui ne permettent pas de mesurer ce que l’on cherche. Ce principe de pertinence interdit d’absorber toutes les données possibles et de définir celles que l’on va discriminer. C’est le principe de minimisation de la collecte, on ne doit pas collecter plus de données que nécessaire. Il faut aussi faire attention au caractère sensible de certaines données. L’article 8 de la loi interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale, ou les données qui sont relatives à la santé ou à la vie sexuelle.
3. La conservation des données
Cela concerne notamment le droit à l’oubli. La durée de conservation doit être définie en fonction de la finalité de chaque fichier. Ainsi, la conservation d’une même donnée peut varier en fonction des objectifs poursuivis. Par exemple, les données relatives à la gestion de la paie ou le contrôle des horaires des salariés peuvent être conservées 5 ans.
4. Le respect des droits
Chaque salarié a le droit de savoir le traitement le concernant. Le droit d’accès et de rectification mais aussi le droit de s’opposer doivent être garantis. Lors de l’informatisation de tel ou tel service, ou lorsque des données sont recueillies par exemple par voie de questionnaires, le personnel concerné doit être informé de la finalité du traitement, du caractère obligatoire ou facultatif du recueil, des destinataires des données… Toute personne peut demander communication de toutes les informations la concernant, qui sont contenues dans un fichier détenu par l’établissement. Chaque salarié a le droit de faire rectifier ou supprimer les informations erronées. Et tout individu a le droit de s’opposer, pour des motifs légitimes, à ce que des données le concernant soient enregistrées dans un fichier informatique, sauf si celui-ci présente un caractère obligatoire.
5. La sécurité
Il faut toujours garantir la sécurité de ces données et celles de l’entreprise. On parle là de l’archivage des données. On ne peut pas conserver « ad vitam aeternam » les données concernant une personne salariée. Par exemple, pour les données de vidéosurveillance, l’entreprise ne peut pas les garder plus d’un mois. Certaines entreprises stockent des informations confidentielles. Il doit y avoir des habilitations et tous les salariés n’ont pas accès à ces données, et pas tous aux mêmes données (par exemple les données RH).
Les règles à respecter par votre employeur
La CNIL a mis en place un régime d’autorisations et de normes à respecter pour protéger les salariés contre les usages abusifs des outils numériques au travail.
Ont été mises en place un certain nombre de mesures de simplification. Lorsqu’une entreprise souhaite mettre en place des traitements de nature similaire par exemple, il n’y a pas à demander plusieurs autorisations mais une autorisation unique.
Les formalités préalables (déclaration, demande d’autorisation) sont obligatoires et les entreprises qui y contreviendraient seraient susceptibles de sanctions pénales (5 ans d’emprisonnement, 300 000 euros d’amende).
La « déclaration CNIL » est un des piliers de la loi Informatique et Libertés. Le plus généralement, l’employeur procède à des déclarations normales, déposées auprès de la CNIL par exemple lorsqu’il veut installer des caméras. La CNIL ne délivre pas d’autorisation formelle, à charge pour l’entreprise de déclarer dans les règles et de respecter le cadre juridique.
Il y existe également un régime des autorisations de la CNIL. Quand une entreprise veut traiter un numéro de Sécurité Sociale ou des données de santé, elle tombe dans le régime de l’autorisation. C’est l’article 25 de la loi, ça concerne, entre autres, le numéro de Sécurité Sociale donc, mais également les infractions, la géolocalisation…
Par exemple, l’autorisation unique 008 concerne les dispositifs biométriques utilisant la reconnaissance de l’empreinte digitale pour des systèmes de contrôle d’accès aux locaux sur les lieux de travail. Les destinataires de ces données sont les personnes habilitées du service du personnel et celles habilitées du service gérant la sécurité des locaux. Les durées de conservation sont également définies de façon très précise et ne peuvent excéder 5 ans après le départ de l’employé, 3 mois s’agissant du déplacement des personnes et des visiteurs. Les représentants du personnel doivent être consultés préalablement à la mise en œuvre de tels dispositifs et les employés doivent être individuellement informés par la diffusion d’une note explicative.
Enfin, il y a un certain nombre de normes simplifiées que doivent connaître les entreprises et qu’elles doivent respecter. Les nouvelles technologies offrent à l’employeur de nouveaux moyens de contrôle et de surveillance des salariés et la stricte application de ces normes doit permettre de les limiter.
LIRE LA SUITE
Des dérives potentielles
Parmi les informations qui peuvent être problématiques dans l’entreprise, il y a la géolocalisation du salarié par son équipement numérique et son véhicule, les horaires d’accès aux locaux notamment par l’usage des badges ou la biométrie, la vidéosurveillance, l’écoute des conversations téléphoniques, ou encore les informations RH comme celles fournies pour le recrutement.
- L’écoute et l’enregistrement des conversations sur le lieu de travail
La pratique n’est pas prohibée mais soumise au respect d’une norme à respecter (norme 57). On ne peut pas écouter de façon permanente ou systématique un salarié car on peut le placer en état de stress durable. À la base, les dispositifs d’écoute étaient mis en place pour permettre une meilleure formation des salariés. Mais on s’est rendu compte qu’en fait, dans 80 % des cas, cela a un impact sur les primes attribuées. On parle, dans ce cas-là, d’un détournement de finalité du dispositif. Par ailleurs, les enregistrements ne peuvent être conservés plus de 6 mois. Les instances représentatives du personnel doivent être informées et consultées avant toute installation d’un tel dispositif.
- La localisation des véhicules mis à disposition des salariés
On ne peut pas géolocaliser le véhicule d’un individu en dehors du temps de travail (norme 51). La norme prévoit que seules peuvent être enregistrées les données relatives à l’identification du salarié, à ses déplacements et à l’utilisation du véhicule, à l’exclusion de toute information sur les dépassements de limitation de vitesse. On ne peut pas non plus l’utiliser pour contrôler un salarié en permanence. La durée de conservation des données est de deux mois et peut être étendue à un an dans certains cas. L’information des instances représentatives du personnel et des salariés doit être préalable à la mise en place du dispositif.
- La gestion administrative du personnel
Certaines cartes de cantine contiennent des données RH. En application de la norme 46, on ne peut pas enregistrer ce que vous mangez ou buvez car cela reviendrait à obtenir des données de santé indirectes. Le traitement doit avoir pour seules finalités la gestion administrative des personnels (dossier professionnel, annuaires, élections professionnelles…), la mise à disposition d’outils informatiques (suivi et maintenance des matériels, annuaires informatiques, messagerie électronique, intranet…), l’organisation du travail (agendas professionnels, gestion des tâches), la gestion des carrières (évaluation, validation des acquis, mobilité…) et la formation des collègues. Les destinataires des données sont les personnes habilitées chargées de la gestion du personnel, les supérieurs hiérarchiques des salariés, les instances représentatives du personnel et les délégués syndicaux.
- L’utilisation des badges sur les lieux de travail
La norme 42 concerne les traitements mis en œuvre sur le lieu de travail pour la gestion des contrôles d’accès aux locaux des salariés et des visiteurs, la gestion d’horaires ainsi qu’à la gestion de la restauration. La norme ne concerne que les dispositifs contrôlant les entrées et sorties du lieu de travail et ne permet pas le contrôle des déplacements à l’intérieur du lieu de travail, à l’exception de certaines zones identifiées faisant l’objet d’une restriction de circulation justifiée par des mesures de sécurité. Les systèmes utilisant une identification biométrique n’entrent pas dans le champ d’application de cette norme. Les données traitées sont relatives à l’identité, la vie professionnelle, aux badges, aux accès au parking, aux visiteurs, aux heures d’entrée et de sortie et à la gestion de la restauration.
Action syndicale et respect de votre vie privée
Dans les entreprises, la présence syndicale sur le terrain – et tout particulièrement celle de FOCom, qui a très tôt adopté une position en pointe sur la problématique – est désormais essentielle dans une optique de protection effective des données personnelles des salariés. Plusieurs domaines d’intervention sont possibles.
- Le juridique
Dans le cadre légal, comme on l’a présenté plus haut, il existe la loi de 78, la loi Lemaire et le projet de règlement européen avec le Privacy Shield (voir encart en page 25). Mais légiférer n’est pas toujours le moyen le mieux approprié vu la rapidité avec laquelle la technologie évolue. Cela permet toutefois de garantir un socle de principes fondamentaux tels que liberté de communication, liberté d’expression et protection de la vie privée.
- La régulation
Avec les autorités indépendantes, les contrats, les accords négociés, les chartes de fonctionnement avec l’employeur, les salariés et les représentants syndicaux peuvent réguler l’utilisation des données collectées (cf. l’accord digitalisation signé par FOCom chez Orange).
- L’information et la formation
Les salariés et les représentants syndicaux doivent être sensibilisés à cet enjeu crucial des rapports nouveaux entre l’informatique et les libertés, et ce bien au-delà de l’aspect légal et réglementaire.
Pour prendre un exemple concret, un des grands débats dont il faudra se saisir, et dans le champ syndical en tout premier lieu, concerne les algorithmes de calcul et de traitement. À travers eux, les données sont triées et recoupées de façon massive, mais pour leur faire dire quoi exactement ? Qui produit ces programmes ? Comment sont-ils écrits ? Et à quelles fins ? Les questions se posent et exigent un vrai débat démocratique mais pour cela il faut que les citoyens et les salariés soient capables d’en comprendre et d’en maîtriser les enjeux.
FOCom moteur pour l’encadrement du numérique à Orange
FOCOM S’EST TRÈS TÔT et totalement impliquée dans la réflexion sur la digitalisation dans le cadre professionnel. En effet celle-ci impacte considérablement les métiers, l’organisation et les conditions de travail. En juin 2015, nous avions axé notre colloque annuel autour de cette question et avions été associés aux travaux de la mission Mettling avec la Confédération FO. Nous avons en particulier fait valoir que la révolution numérique ne devait pas être prise comme prétexte pour déboucher sur une suppression de la référence au temps et lieu de travail existant dans le Code du travail et le contrat de travail. Après plusieurs mois de négociation et de multiples péripéties le « premier accord portant sur l’application de la transformation numérique chez Orange » a été signé le 27 septembre. Il reprend ces grands principes et donne un premier cadrage pour protéger les salariés contre les risques liés aux nouvelles technologies. Il affirme que la dimension humaine doit être au cœur de la transformation numérique. Il réaffirme que le respect vie privé/vie professionnelle et l’égalité professionnelle doivent être assurés. Concrètement, il garantit la protection des données personnelles des salariés et la possibilité de contrôler leur utilisation. Il garantit le droit à la déconnexion. Il s’engage à réduire la fracture numérique, notamment en formant tous les salariés, en leur permettant de s’approprier les nouveaux outils à leur rythme et en les accom-pagnant dans leur usage.
Enfin, conscients que les transformations numériques sont très rapides, les parties signataires ont convenu que ce premier accord devra être complété et amendé au fur et à mesure de ces évolutions. Pour donner de la visibilité et permettre les échanges, un Conseil National des Transformations Numériques est créé sans se substituer aux instances repré-sentatives du personnel. Porteuse de ce projet de bout en bout, FOCom sera attentive à la mise en musique des mesures contenues dans cet accord et aux améliorations qu’il aura lieu d’y apporter.
FERMER