icon-summary icon-grid list icon-caret-left icon-caret-right icon-preview icon-tooltip icon-download icon-view icon-arrow_left icon-arrow_right icon-cancel icon-search icon-file logo-JDM--large image-logo-gppm icon-categories icon-date icon-order icon-themes icon-cog icon-print icon-journal icon-list-thumbnails icon-thumbnails

Délibération n° 2017-55 du 19 avril 2017 de la Commission de Contrôle des Informations Nominatives portant recommandation sur les traitements automatisés d'informations nominatives ayant pour finalité « la gestion du contentieux ».

  • N° journal 8329
  • Date de publication 12/05/2017
  • Qualité 100%
  • N° de page

Vu la Constitution ;
Vu la Convention de sauvegarde des Droits de l'Homme et des Libertés Fondamentales du Conseil de l'Europe du 4 novembre 1950 ;
Vu la Convention n° 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel, et son Protocole additionnel ;
Vu la loi n° 711 du 18 décembre 1961 sur le règlement intérieur des entreprises ;
Vu la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives, modifiée ;
Vu l'Ordonnance Souveraine n° 2.230 du 19 juin 2009 fixant les modalités d'application de la loi n° 1.165 du 23 décembre 1993, modifiée, susvisée ;
Vu les Codes civil, pénal et de procédure pénale ;
Vu la Recommandation CM/Rec(2015)5 du Conseil de l'Europe du 1er avril 2015 sur le traitement des données à caractère personnel dans le cadre de l'emploi ;
La Commission de Contrôle des Informations Nominatives,
Préambule
Conformément à l'article 1er alinéa 1er de la loi n° 1.165 du 23 décembre 1993, les traitements automatisés ou non automatisés d'informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, Autorité Administrative Indépendante, a pour mission de veiller au respect de ces dispositions. À ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Par la présente recommandation, la Commission souhaite préciser les grands principes de protection des informations nominatives applicables aux traitements automatisés d'informations nominatives ayant pour finalité « la gestion du contentieux » mis en œuvre par les personnes physiques ou morales de droit privé.
Cette recommandation a ainsi vocation à orienter les responsables de traitement dans leurs démarches auprès de la Commission.
I. Remarques liminaires
La Commission a pour objectif de proposer un cadre de formalités cohérent et facilement appréhendable par les responsables de traitements ayant à gérer des ressources humaines.
Aussi, ces derniers peuvent être éligibles aux formalités simplifiées de « Gestion administrative des salariés », « Gestion des élections des délégués du personnel », et peuvent être dispensés de formalités en ce qui concerne la paie des personnels.
Toutefois, aucun cadre n'est prévu pour la gestion du contentieux pouvant notamment résulter de problèmes disciplinaires, et comportant des informations nominatives « portant sur des soupçons d'activités illicites, des infractions, des mesures de sûreté », qui relève de l'article 11-1 de la loi n° 1.165 du 23 décembre 1993, et pour lequel une demande d'autorisation préalablement à la mise en œuvre du traitement est nécessaire.
Cette gestion du contentieux ne concerne pas uniquement les entreprises dans leurs relations avec les salariés mais toute personne physique ou morale entrant dans le champ d'application de la loi n° 1.165 du 23 décembre 1993 et désirant faire valoir ses droits en justice à l'égard d'un tiers ou d'un client.
Ainsi, la Commission estime nécessaire, en se bornant à de seules considérations relatives à la protection des informations nominatives, de retenir les principes fondamentaux ci-après exposés.
II. Champ d'application et formalités légales applicables
Les principes consacrés par la présente délibération s'appliquent à tout traitement automatisé d'informations nominatives ayant pour finalité « la gestion du contentieux » mis en œuvre par les personnes physiques ou morales de droit privé.
- Régime applicable aux traitements portant sur des soupçons d'activités illicites, des infractions, des mesures de sûreté, et mis en œuvre à des fins de surveillance
Un traitement automatisé d'informations nominatives mis en œuvre aux fins de gérer  un contentieux contiendra le plus souvent des informations portant sur des activités illicites, des infractions, des mesures de sûreté.
En conséquence, la Commission estime que ces traitements sont susceptibles d'être soumis à une demande d'autorisation préalable, conformément à l'article 11-1 de la loi n° 1.165 du 23 décembre 1993.
- Les personnes concernées
Les personnes concernées par ce type de traitement sont les personnes mises en cause dans un contentieux, et plus généralement toute personne intéressée à la procédure.
III. Licéité du traitement
Conformément à l'article 11-1 de la loi n° 1.165 du 23 décembre 1993, pour être licites, les traitements ayant pour finalité « la gestion du contentieux » doivent être « nécessaires à la poursuite d'un objectif légitime essentiel et [respecter] les droits et libertés mentionnés à l'article premier des personnes concernées (…) ».
A cet égard, la Commission relève que tout employeur dispose d'un pouvoir disciplinaire permettant de sanctionner les manquements aux obligations professionnelles.
Par ailleurs, le responsable de traitement en tant que justiciable doit pouvoir préparer et suivre les actions en justice le concernant.
IV. Justification du traitement
En application de l'article 10-2 de la loi n° 1.165 du 23 décembre 1993, la Commission considère qu'un traitement automatisé d'informations nominatives ayant pour finalité « la gestion du contentieux » peut être justifié, par « la réalisation d'un intérêt légitime poursuivi par le responsable de traitement ou son représentant ou par le destinataire, à la condition de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée », qui lui permet d'optimiser le suivi de la défense de ses droits.
V. Fonctionnalités du traitement
La Commission considère que ce type de traitement peut avoir pour fonctionnalités :
- Préparer et suivre une action disciplinaire ;
- Préparer et suivre une action en justice ;
- Effectuer un suivi des décisions rendues pour les faire exécuter.
Par ailleurs, et sous réserve d'une justification spécialement apportée à cet effet, la Commission estime que certaines fonctionnalités complémentaires pourraient s'adjoindre à celles-ci.
VI. Information de la personne concernée
La Commission rappelle que conformément aux dispositions de l'article 14 de la loi n° 1.165 du 23 décembre 1993 les personnes concernées par l'exploitation de leurs informations nominatives doivent être informées de :
- l'identité du responsable de traitement ;
- la finalité du traitement ;
- l'identité des destinataires ou des catégories de destinataires des informations ;
- l'existence d'un droit d'accès et de rectification aux informations les concernant.
Lorsque des mesures conservatoires sont rendues nécessaires pour éviter la dissimulation ou la destruction de preuves, l'information des personnes concernées peut être effectuée après l'adoption desdites mesures.
VII. Respect des droits d'accès
La Commission rappelle que le responsable de traitement est tenu de garantir à toute personne concernée son droit d'accès.
Elle indique également, concernant les traitements dont s'agit, que le droit d'accès ne peut conduire à accéder directement aux documents qu'ils contiennent, notamment ceux couverts par le secret professionnel des avocats.
VIII. Catégories d'informations traitées
Conformément aux dispositions de l'article 10-1 de la loi n° 1.165 du 23 décembre 1993 la Commission considère que les catégories d'informations suivantes peuvent être collectées et traitées :
- identité : nom, prénom, sexe, date et lieu de  naissance, nationalité, des personnes concernées par la procédure (personne mise en cause, témoin, victime, auxiliaires de justice mandatés dans la procédure) ;
- adresses et coordonnées : adresse, numéro de téléphone, numéro de fax ;
- infractions, condamnations, mesures de sûreté, soupçon d'activité illicite : date, nature, motifs, montants et éventuels échelonnements des condamnations, et plus généralement toutes informations relatives à cette catégorie d'informations en rapport avec les procédures suivies ;
- informations relatives à la procédure : faits litigieux, documents et pièces recueillis à titre probatoire (externes tels que notamment des constats, témoignages, attestations, mise en demeures, ou provenant d'un traitement exploité par le responsable de traitement, tels que notamment des images de vidéosurveillance, des logs de connexion, etc.), date de début et de clôture du litige, juridiction saisie, date de l'assignation, de l'audience, nature et objets des demandes, griefs, argumentations, observations et avis des représentants légaux, date de jugement ;
- commentaires : descriptions et suivis des procédures.
En ce qui concerne les commentaires, la Commission rappelle que ces derniers doivent être factuels et ne pas comporter d'appréciations pouvant revêtir un caractère insultant ou discriminant.
Par ailleurs, elle rappelle que d'autres informations nominatives nécessaires à l'accomplissement de la finalité du présent traitement peuvent être collectées. Conformément à l'article 10-1, susvisé, le responsable de traitement doit veiller à ce qu'elles soient « adéquates, pertinentes et non excessives au regard de la finalité pour laquelle elles sont collectées (…) ».
IX. Personnes ayant accès aux informations et les destinataires
- Les personnes ayant accès aux informations
La Commission considère que l'accès aux informations objets du traitement doit être limité aux seules personnes qui, dans le cadre de leurs attributions, peuvent légitimement en avoir connaissance au regard de la finalité du traitement ou du but recherché.
Elle rappelle, s'agissant des traitements visés à l'article 11-1 de la loi n° 1.165, modifiée et conformément aux dispositions de l'article 17-1 de ladite loi, que le responsable de traitement ou son représentant doit « déterminer nominativement la liste de personnes autorisées qui ont seules accès, pour les strictes besoins de l'accomplissement de leurs missions, aux locaux et aux installations utilisés pour les traitements, de même qu'aux informations traitées ».
- Les destinataires
La Commission estime que peuvent être destinataires des informations objets du présent traitement les sous-traitants du responsable de traitement habilités à gérer les litiges, les auxiliaires de justice et officiers ministériels, les autorités saisies du litige.
X. Rapprochements et Interconnections
La Commission constate que le présent traitement peut être alimenté d'informations nominatives contenues dans d'autres traitements du responsable de traitement, ayant permis la constatation de manquements aux règles de travail ou permettant la constatation d'infraction (exemple : images de vidéosurveillance relatives à un vol, manquements aux règles de compliance, etc.).
Elle rappelle néanmoins que ces traitements à l'origine du contentieux doivent être préalablement soumis à formalité auprès d'elle.
XI. Transfert de données vers un pays ne disposant pas d'un niveau de protection adéquat
La Commission constate que les informations objets du présent traitement peuvent faire l'objet de communications ponctuelles, en fonction du contentieux concerné, vers des avocats ou auxiliaires de justices situés dans un pays ne disposant pas d'un niveau de protection adéquat hors protection adéquate.
Elle relève que ces transferts sont nécessaires « au respect d'obligations permettant d'assurer la constatation, l'exercice ou la défense d'un droit en justice ».
Aussi, elle considère comme étant valablement effectuée la demande d'autorisation de transfert par les responsables de traitement dès lors que ces derniers l'informent desdits transferts et de leur sécurité dans le formulaire relatif au présent traitement.
XII. Confidentialité et mesures de sécurité
La Commission rappelle qu'en application des articles 17 et 17-1 de la loi n° 1.165 du 23 décembre 1993, le responsable de traitement ou son représentant doit prendre toutes mesures utiles pour préserver la sécurité des informations objets du traitement, telles que l'authentification par un identifiant et un mot de passe individuel (réputé fort) régulièrement renouvelé.
A cet égard, elle estime que les personnes habilitées à avoir accès au traitement doivent être astreintes à une obligation de confidentialité particulièrement stricte.
Par ailleurs, elle estime que le responsable de traitement ou son représentant est tenu de mettre en place des mesures organisationnelles pour garantir la confidentialité de ces informations et de tracer les accès au traitement.
Enfin, elle rappelle que la copie ou l'extraction d'informations issues de ce traitement devra être chiffrée sur son support de réception.
XIII. Durée de conservation
La Commission rappelle que conformément à l'article 10-1 de la loi n° 1.165 du 23 décembre 1993 les informations nominatives objets du traitement ne peuvent être conservées que pendant une durée n'excédant pas celle nécessaire à la réalisation de la finalité pour laquelle elles sont exploitées.
Aussi, elle estime que les données collectées dans le cadre de la gestion d'un précontentieux doivent être supprimées dès le règlement amiable d'un litige ou à la date de prescription de l'action en justice correspondante.
Les informations relatives à un contentieux doivent être supprimées dès l'extinction des procédures et de leurs exécutions.
Après en avoir délibéré, la Commission :
Rappelle que :
- les traitements ainsi exploités doivent être conformes aux dispositions de la loi n° 1.165 du 23 décembre 1993 telles que précisées dans le cadre de la présente délibération.

Le Président de la Commission
de Contrôle des Informations
Nominatives.

Imprimer l'article
Article précédent Retour au sommaire Article suivant

Tous droits reservés Monaco 2016
Version 2018.11.07.14