Délibération nº 2005-19 du 3 février 2005 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de l'utilisation de services de téléphonie fixe et mobile sur les lieux de travail (norme simplifiée nº 47 et portant abrogation de la norme simplifiée nº 40).
La Commission nationale de l'informatique et des libertés,
Vu la convention nº 108 du Conseil de l'Europe du 28 janvier 1981 pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/47/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu les lois nº 83-634 du 13 juillet 1983 portant droits et obligations des fonctionnaires, nº 84-16 du 11 janvier 1984 portant dispositions statutaires relatives à la fonction publique de l'Etat, nº 84-53 du 26 janvier 1984 portant dispositions statutaires relatives à la fonction publique territoriale et nº 86-33 du 9 janvier 1986 portant dispositions statutaires à la fonction publique hospitalière ;
Vu la loi nº 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi nº 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel ;
Vu le code des postes et des communications électroniques ;
Vu le code du travail ;
Vu l'arrêté du 1er février 2002 relatif aux factures des services téléphoniques ;
Vu la délibération de la CNIL nº 94-113 du 20 décembre 1994 portant adoption d'une norme simplifiée concernant les traitements automatisés d'informations nominatives mis en oeuvre à l'aide d'autocommutateurs téléphoniques sur les lieux de travail (norme simplifiée nº 40) ;
Après avoir entendu M. Didier Gasse, commissaire, en son rapport, et Mme Catherine Pozzo di Borgo, commissaire adjoint du Gouvernement, en ses observations,
Formule les observations suivantes :
En application des articles 11 et 24-I de la loi du 6 janvier 1978 modifiée, la CNIL est habilitée à édicter des normes simplifiées concernant certains traitements automatisés de données à caractère personnel.
Pour l'application de l'article 24-I susvisé, il faut entendre par norme simplifiée un texte à valeur réglementaire définissant l'ensemble des conditions que doit remplir une catégorie courante de traitements pour être regardée comme ne comportant manifestement pas de risques d'atteinte à la vie privée et aux libertés et comme pouvant, dès lors, faire l'objet d'une déclaration simplifiée de conformité.
La mise à disposition au bénéfice des employés d'une ligne téléphonique, fixe ou mobile, conduit l'employeur public ou privé à disposer des données relatives à l'utilisation de ce moyen de communication, que ces données soient issues de la mise en place d'un autocommutateur téléphonique (téléphonie fixe) ou de leur transmission par l'opérateur auprès duquel l'organisme est client (téléphonie fixe ou mobile).
L'utilisation d'un service de téléphonie mobile par les employés d'un organisme public ou privé peut conduire celui-ci à traiter informatiquement les données issues de l'utilisation de ces services, que ces données soient resaisies par l'entreprise ou l'organisme privé et public à partir des factures papier envoyées par l'opérateur, qu'elles soient transférées par voie électronique par l'opérateur ou encore qu'elles soient accessibles à l'organisme par l'intermédiaire du site web de l'opérateur.
Les dispositions du code des postes et des communications électroniques permettent aux clients d'un opérateur de recevoir une facturation détaillée qui n'indique pas les quatre derniers chiffres des numéros appelés, à moins que le client n'ait expressément demandé que cela soit le cas. Dès lors, une entreprise ou un organisme privé et public peut avoir accès, soit par l'intermédiaire de l'autocommutateur qu'il aura mis en place, soit par l'intermédiaire de l'opérateur auprès duquel il est client, à l'intégralité des numéros de téléphone appelés.
Si les autocommutateurs permettent la collecte systématique, et à son insu, des données relatives à l'identification de l'appelant, une telle collecte est contraire à l'article 6 de la loi du 6 janvier 1978 modifiée qui prévoit que les données sont collectées et traitées de manière loyale et licite.
Les traitements mis en oeuvre dans le cadre de l'utilisation des services de téléphonie ne doivent pas entraver l'exercice des droits reconnus par la loi en matière de droits et libertés des employés protégés.
La mise à disposition de services de communications téléphoniques au sein d'une entreprise ou d'un organisme privé et public est essentiellement destinée à satisfaire les besoins de fonctionnement de l'organisme mais, toutefois, un usage raisonnable par les employés à des fins privées de ces moyens de communication est admis.
Les numéros de téléphone constituent des données à caractère personnel au sens de l'article 2 de la loi du 6 janvier 1978 modifiée. En conséquence, lorsque les numéros appelés sont enregistrés ou traités dans un fichier informatique, l'opération qui est ainsi faite constitue un traitement automatisé de données à caractère personnel soumis aux formalités préalables prévues par le chapitre IV de la loi du 6 janvier 1978 modifiée.
Après avoir recueilli les observations des représentants des organisations professionnelles d'employeurs et d'employés et des ministères concernés,
Décide :
D'abroger la norme simplifiée nº 94-113 du 20 décembre 1994 portant adoption d'une norme simplifiée concernant les traitements automatisés d'informations nominatives mis en oeuvre à l'aide d'autocommutateurs téléphoniques sur les lieux de travail (norme simplifiée nº 40) ;
D'adopter une norme simplifiée concernant les traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de l'utilisation de services de téléphonie fixe ou mobile sur les lieux de travail (norme simplifiée nº 47) dont le contenu est le suivant :
Article 1. Pour les entreprises ou organismes privés et publics, la déclaration simplifiée effectuée en référence à la présente norme remplace la déclaration simplifiée effectuée en référence à la norme simplifiée nº 40.
Article 2. Finalités.
Seuls peuvent être déclarés en référence à la présente norme les traitements mis en oeuvre par les entreprises ou organismes privés et publics pour les finalités suivantes :
a) La gestion de la dotation en matériel téléphonique et la maintenance du parc téléphonique ;
b) La gestion de l'annuaire téléphonique interne, à savoir la constitution, l'édition et la diffusion de listes nominatives des utilisateurs des services téléphoniques ;
c) La gestion technique de la messagerie interne de l'organisme ;
d) Le remboursement des services de téléphonie utilisés à titre privé par les employés lorsque le caractère privé de l'utilisation de ces services est déterminé par les employés eux-mêmes ;
e) La maîtrise des dépenses liées à l'utilisation professionnelle des services de téléphonie, à savoir l'établissement et l'édition des relevés liés à l'utilisation des services de téléphonie, le calcul du coût de cette utilisation et l'établissement de statistiques anonymes ;
f) La maîtrise des dépenses liées à l'utilisation effectuée à titre privé des services de téléphonie, dans les conditions prévues à l'article 6 de la présente norme.
Les traitements concernés par la présente norme sont exclusifs de tout dispositif permettant l'écoute ou l'enregistrement d'une communication ou la localisation d'un employé à partir de l'usage de son téléphone mobile.
Article 3. Informations collectées et traitées.
Peuvent seules être collectées et traitées les données suivantes :
a) Identité de l'utilisateur du service téléphonique : nom, prénom et numéro de ligne ;
b) Situation professionnelle : fonction, service, adresses professionnelles y compris électroniques ;
c) Utilisation des services de téléphonie : numéro de téléphone appelé, service utilisé, opérateur appelé, nature de l'appel (sous la forme : local, départemental, national, international), durée, date et heure de début et de fin d'appel, éléments de facturation (nombre de taxes, volume et nature des données échangées à l'exclusion du contenu de celles-ci et coût du service utilisé).
Lorsque des relevés justificatifs des numéros de téléphone appelés sont établis, les quatre derniers chiffres de ces numéros sont occultés, à l'exception des hypothèses prévues à l'article 6 de la présente norme.
Article 4. Durée de conservation.
Les données à caractère personnel relatives à l'utilisation des services de téléphonie ne peuvent être conservées au-delà du délai prévu à l'article L. 34-2 du code des postes et des communications électroniques, à savoir un an courant à la date de l'exigibilité des sommes dues en paiement des prestations des services de téléphonie.
Article 5. Destinataires des informations.
En fonction des finalités retenues à l'article 2, les destinataires des informations peuvent être :
– pour les données relatives à l'annuaire téléphonique : l'ensemble du personnel ;
– pour les données relatives à la messagerie interne : le titulaire du compte de messagerie concerné ;
– pour les données relatives à la consommation des services téléphoniques : les personnels habilités des services comptables ou financiers chargés de l'élaboration des relevés de communication, les agents disposant du poste téléphonique concerné et, dans les conditions prévues à l'article 6 de la présente norme, les supérieurs hiérarchiques des personnels concernés et les personnels du service du personnel, en cas d'utilisation manifestement abusive constatée à l'occasion de l'établissement des relevés non détaillés.
– pour l'ensemble des données : les personnels des services techniques chargés de la mise en oeuvre et de la maintenance du service téléphonique dans le strict cadre de leurs attributions.
Les destinataires assurent la stricte confidentialité des données à caractère personnel en leur possession.
Article 6. Utilisation des relevés justificatifs complets des numéros de téléphone appelés ou des services de téléphonie utilisés.
Une entreprise ou un organisme privé et public peut éditer, soit par l'intermédiaire de l'autocommutateur qu'il aura mis en place, soit par l'intermédiaire de l'opérateur auprès duquel il est client, l'intégralité des numéros de téléphone appelés ou le détail des services de téléphonie utilisés dans les deux cas suivants :
Dans le cas où un remboursement est demandé aux employés pour les services de téléphonie utilisés à titre privé, lorsque le montant demandé est contesté par l'employé auquel il se rapporte, un relevé justificatif complet des données relatives à l'utilisation des services de téléphonie comprenant l'intégralité des numéros de téléphone appelés peut être établi à des fins de preuves.
Dans le cas où l'employeur constate une utilisation manifestement anormale au regard de l'utilisation moyenne constatée au sein de l'entreprise ou de l'organisme privé et public des services de téléphonie, un relevé justificatif complet des numéros de téléphone appelés ou des services de téléphonie utilisés peut être établi de façon contradictoire avec l'employé concerné.
Article 7. Respect des droits et libertés des employés protégés.
Des mesures particulières doivent être prises afin que les conditions de mise en oeuvre et d'utilisation des services de téléphonie n'entravent pas l'exercice des droits reconnus par la loi en matière de droits et libertés des réprésentants des personnels et des employés protégés.
A cet effet, ils doivent pouvoir disposer d'une ligne téléphonique excluant toute possibilité d'interception de leurs communications ou d'identification de leurs correspondants.
Article 8. Sécurités.
Des mesures de sécurité physique et logique doivent être prises afin de préserver la sécurité du traitement et des informations, d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.
Article 9. Information et droit d'accès.
L'information des utilisateurs sur les finalités et les fonctions des traitements mis en oeuvre sur les destinataires des informations et sur les modalités d'exercice de leur droit d'accès et de rectification doit être assurée par tout moyen approprié, notamment par voie d'affichage ou de diffusion de note explicative préalablement à la mise en fonction de ce traitement.
En particulier, lorsque l'entreprise, l'administration ou l'organisme envisage de mettre en oeuvre un suivi individuel de l'utilisation des services de télécommunications, dans le respect des dispositions de la présente norme, il doit être procédé à la consultation des instances représentatives du personnel conformément aux textes en vigueur.
Article 10. Publication au Journal officiel.
La présente délibération sera publiée au Journal officiel de la République française.
Fait à Paris, le 3 février 2005.
Le président, A. Türk