Il est probable que son contenu ne soit plus à jour.
Partager la publication "La CNIL adopte une nouvelle norme simplifiée relative à l'utilisation de services de téléphonie fixe et mobile en entreprise"
Le traitement des donnéesrelatives à l’utilisation d’une ligne téléphonique professionnelle estsoumis aux formalités préalables prévues par la loi « informatique etlibertés ».
La norme simplifiée n° 40,adoptée le 20 décembre 1994, permettait de faire bénéficier de laprocédure de la déclaration simplifiée les traitements mis en oeuvre parles entreprises ou organismes privés et publics à l’aided’autocommutateurs téléphoniques, c’est-à-dire ceux liés àl’utilisation de la téléphonie fixe. Cette norme a permispendant de nombreuses années d’alléger les formalités préalablesauxquelles sont soumis ces entreprises et organismes.
Pour autant, lanorme simplifiée numéro 40 n’incluait pas dans son champ d’applicationles traitements liés à l’utilisation de la téléphonie mobile par les employés.
La CNIL a décidé d’élargir le champ d’application de cette norme avec la norme simplifiée n° 47,adoptée le 3 février dernier, qui permet dorénavant de faire bénéficierde la procédure de déclaration simplifiée les traitements de données àcaractère personnel mis en oeuvre par les employeurs dans le cadre del’utilisation de services de téléphonie fixe et mobile sur les lieux detravail.
La norme 40 est abrogée : les déclarationsqui ont été effectuées en référence à cette norme restent valablesmais, à partir de maintenant, c’est la norme numéro 47 qui devient lanorme de référence en matière de déclaration simplifiée pourl’utilisation de services de téléphonie sur les lieux de travail.
Le contenu de la norme simplifiée numéro 47 reprend les principes posés par l’ancienne norme 40.
En premier lieu, les finalités sont limitées à la gestion des moyens de communication(gestion de l’annuaire interne, de la dotation en matériel, de lamessagerie interne, etc.) et à la maîtrise des dépenses liées àl’utilisation des services de téléphonie. Les finalités relatives àl’écoute ou l’enregistrement des conversations téléphoniques ou lalocalisation d’un employé à partir de son téléphone portable sontexpressément exclues du champ d’application de la norme.
En second lieu, la norme simplifiée 47 réaffirme le principe général selon lequel, lorsquedes relevés justificatifs des numéros de téléphone appelés sontétablis, les quatre derniers chiffres de ces numéros sont occultés.
Enfin, la norme rappelle que desmesures particulières doivent être prises au bénéfice des représentantsdes personnels et des employés protégés pour qu’ils disposent d’uneligne téléphonique excluant toute possibilité d’interception de leurscommunications ou d’identification de leurs correspondants.
Parailleurs, l’élargissement du champ d’application de la procéduresimplifiée au bénéfice des traitements issus de l’utilisation de latéléphonie fixe et mobile a permis à la CNIL d’actualiser le contenu dutexte de la norme simplifiée. Ainsi, la durée de conservation desdonnées relatives à l’utilisation des services de téléphonie reprend ledélai prévu à l’article L. 34-2 du code des postes et descommunications électroniques, à savoir un an courant à la date del’exigibilité des sommes dues en paiement des prestations des servicesde téléphonie.
Enfin, la norme précise les deuxcas où une entreprise ou un organisme privé et public peut éditerl’intégralité des numéros de téléphone appelés ou le détail desservices de téléphonie utilisés :
Dans ce dernier cas,le relevé justificatif complet des numéros de téléphone appelés ou desservices de téléphonie utilisés doit être établi de façoncontradictoire avec l’employé concerné.
Source : CNIL
Le texte de la délibération portant création de la norme simplifiée n°47
Délibérationn° 2005-019 du 3 février 2005 portant création d’une norme simplifiéeconcernant les traitements automatisés de données à caractère personnelmis en oeuvre dans le cadre de l’utilisation de services de téléphoniefixe et mobile sur les lieux de travail (norme simplifiée n°47) etportant abrogation de la norme simplifiée n°40
Journal Officiel n° 50 du 1 mars 2005
La Commission nationale de l’informatique et des libertés,
Vu la convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pourla protection des personnes à l’égard du traitement automatisé desdonnées à caractère personnel ; Vu la directive 95/47/CE du Parlementeuropéen et du Conseil, du 24 octobre 1995 relative à la protection despersonnes physiques à l’égard du traitement des données à caractèrepersonnel et à la libre circulation de ces données ; Vu les loisn°83-634 du 13 juillet 1983 portant droits et obligations desfonctionnaires, n°84-16 du 11 janvier 1984 portant dispositionsstatutaires relatives à la fonction publique de l’Etat, n° 84-53 du 26janvier 1984 portant dispositions statutaires relatives à la fonctionpublique territoriale, et n° 86-33 du 9 janvier 1986 portantdispositions statutaires à la fonction publique hospitalière ; Vu laloi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichierset aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004relative à la protection des personnes physiques à l’égard destraitements de données à caractère personnel ; Vu le code des postes etdes communications électroniques ; Vu le code du travail ; Vu l’arrêtédu 1er février 2002 relatif aux factures des services téléphoniques ;Vu la délibération de la CNIL n°94-113 du 20 décembre 1994 portantadoption d’une norme simplifiée concernant les traitements automatisésd’informations nominatives mis en oeuvre à l’aide d’autocommutateurstéléphoniques sur les lieux de travail (norme simplifiée n°40) ; Aprèsavoir entendu M. Didier Gasse, commissaire, en son rapport et MmeCatherine Pozzo di Borgo, commissaire adjoint du Gouvernement, en sesobservations ;
Formule les observations suivantes :
En application des articles 11 et 24-I. de la loi du 6 janvier 1978modifiée, la CNIL est habilitée à édicter des normes simplifiéesconcernant certains traitements automatisés de données à caractèrepersonnel. Pour l’application de l’article 24-I. susvisé, il fautentendre par norme simplifiée un texte à valeur réglementairedéfinissant l’ensemble des conditions que doit remplir une catégoriecourante de traitements pour être regardée comme ne comportantmanifestement pas de risques d’atteinte à la vie privée et aux libertéset comme pouvant, dès lors, faire l’objet d’une déclaration simplifiéede conformité. La mise à disposition au bénéfice des employés d’uneligne téléphonique, fixe ou mobile, conduit l’employeur public ou privéà disposer des données relatives à l’utilisation de ce moyen decommunication, que ces données soient issues de la mise en place d’unautocommutateur téléphonique (téléphonie fixe) ou de leur transmissionpar l’opérateur auprès duquel l’organisme est client (téléphonie fixeou mobile). L’utilisation d’un service de téléphonie mobile par lesemployés d’un organisme public ou privé peut conduire celui-ci àtraiter informatiquement les données issues de l’utilisation de cesservices, que ces données soient ressaisies par l’entreprise oul’organisme privé et public à partir des factures papier envoyées parl’opérateur, qu’elles soient transférées par voie électronique parl’opérateur ou encore qu’elles soient accessibles à l’organisme parl’intermédiaire du
site web de l’opérateur. Les dispositions du codedes postes et des communications électroniques permettent aux clientsd’un opérateur de recevoir une facturation détaillée qui n’indique pasles quatre derniers chiffres des numéros appelés, à moins que le clientn’ait expressément demandé que cela soit le cas. Dès lors, uneentreprise ou un organisme privé et public peut avoir accès, soit parl’intermédiaire de l’autocommutateur qu’il aura mis en place, soit parl’intermédiaire de l’opérateur auprès duquel il est client, àl’intégralité des numéros de téléphone appelés. Si les autocommutateurspermettent la collecte systématique, et à son insu, des donnéesrelatives à l’identification de l’appelant, une telle collecte estcontraire à l’article 6 de la loi du 6 janvier 1978 modifiée quiprévoit que les données sont collectées et traitées de manière loyaleet licite. Les traitements mis en oeuvre dans le cadre de l’utilisationdes services de téléphonie ne doivent pas entraver l’exercice desdroits reconnus par la loi en matière de droits et libertés desemployés protégés. La mise à disposition de services de communicationstéléphoniques au sein d’une entreprise ou d’un organisme privé etpublic est essentiellement destinée à satisfaire les besoins defonctionnement de l’organisme mais, toutefois, un usage raisonnable parles employés à des fins privées de ces moyens de communication estadmis. Les numéros de téléphone constituent des données à caractèrepersonnel au sens de l’article 2 de la loi du 6 janvier 1978 modifiée ;en conséquence, lorsque les numéros appelés sont enregistrés ou traitésdans un fichier informatique, l’opération qui en est ainsi faiteconstitue un traitement automatisé de données à caractère personnelsoumis aux formalités préalables prévues par le chapitre IV de la loidu 6 janvier 1978 modifiée. Après avoir recueilli les observations desreprésentants des organisations professionnelles d’employeurs etd’employés, et des ministères concernés,:
Décide :
* D’abroger la norme simplifiée n°94-113 du 20 décembre 1994 portantadoption d’une norme simplifiée concernant les traitements automatisésd’informations nominatives mis en oeuvre à l’aide d’autocommutateurstéléphoniques sur les lieux de travail (norme simplifiée n°40) ;
* D’adopter une norme simplifiée concernant les traitements automatisésde données à caractère personnel mis en oeuvre dans le cadre del’utilisation de services de téléphonie fixe ou mobile sur les lieux detravail (norme simplifiée n° 47) dont le contenu est le suivant :
Le texte de la norme simplifiée n°47
Article 1er :
Pour les entreprises ou organismes privés et publics, la déclarationsimplifiée effectuée en référence à la présente norme remplace ladéclaration simplifiée effectuée en référence à la norme simplifiée 40.
Article 2 : Finalités
Seuls peuvent être déclarés en référence à la présente norme, lestraitements mis en oeuvre par les entreprises ou organismes privés etpublics pour les finalités suivantes : a) la gestion de la dotation enmatériel téléphonique et la maintenance du parc téléphonique ; b) lagestion de l’annuaire téléphonique interne à savoir, la constitution,l’édition et la diffusion de listes nominatives des utilisateurs desservices téléphoniques ; c) la gestion technique de la messagerieinterne de l’organisme ; d) le remboursement des services de téléphonieutilisés à titre privé par les employés lorsque le caractère privé del’utilisation de ces services est déterminé par les employés eux-mêmes; e) la maîtrise des dépenses liées à l’utilisation professionnelle desservices de téléphonie, à savoir l’établissement et l’édition desrelevés liés à l’utilisation des services de téléphonie, le calcul ducoût de cette utilisation et l’établissement de statistiques anonymes ;f) la maîtrise des dépenses liées à l’utilisation effectuée à titreprivé des services de téléphonie, dans les conditions prévues àl’article 6 de la présente norme. Les traitements concernés par laprésente norme sont exclusifs de tout dispositif permettant l’écoute oul’enregistrement d’une communication, ou la localisation d’un employé àpartir de l’usage de son téléphone mobile.
Article 3 : Informations collectées et traitées
Peuvent seules être collectées et traitées les données suivantes :a) identité de l’utilisateur du service téléphonique : nom, prénom etnuméro de ligne ; b) situation professionnelle : fonction, service,adresses professionnelles y compris électroniques ; c) utilisation desservices de téléphonie : numéro de téléphone appelé, service utilisé,opérateur appelé, nature de l’appel (sous la forme : local,départemental, national, international), durée, date et heure de débutet de fin de l’appel, éléments de facturation (nombre de taxes, volumeet nature des données échangées à l’exclusion du contenu de celles-ciet coût du service utilisé). Lorsque des relevés justificatifs desnuméros de téléphone appelés sont établis, les quatre derniers chiffresde ces numéros sont occultés, à l’exception des hypothèses prévues àl’article 6 de la présente norme.
Article 4 : Durée de conservation
Les données à caractère personnel relatives à l’utilisation desservices de téléphonie ne peuvent être conservées au-delà du délaiprévu à l’article L. 34-2 du code des postes et des communicationsélectroniques, à savoir un an courant à la date de l’exigibilité dessommes dues en paiement des prestations des services de téléphonie.
Article 5 : Destinataires des informations
En fonction des finalités retenues à l’article 2, les destinataires des informations peuvent être :
Les destinataires assurent la stricte confidentialité des données à caractère personnel en leur possession.
Article 6 : Utilisations des relevés justificatifs complets des numéros detéléphone appelés ou des services de téléphonie utilisés
Uneentreprise ou un organisme privé et public peut éditer, soit parl’intermédiaire de l’autocommutateur qu’il aura mis en place, soit parl’intermédiaire de l’opérateur auprès duquel il est client,l’intégralité des numéros de téléphone appelés ou le détail desservices de téléphonie utilisés dans les deux cas suivants. Dans le casoù un remboursement est demandé aux employés pour les services detéléphonie utilisés à titre privé, lorsque le montant demandé estcontesté par l’employé auquel il se rapporte, un relevé justificatifcomplet des données relatives à l’utilisation des services detéléphonie comprenant l’intégralité des numéros de téléphone appeléspeut être établi à des fins de preuves. Dans le cas où l’employeurconstate une utilisation manifestement anormale au regard del’utilisation moyenne constatée au sein de l’entreprise ou del’organisme privé et public des services de téléphonie, un relevéjustificatif complet des numéros de téléphone appelés ou des servi
cesde téléphonie utilisés peut être établi de façon contradictoire avecl’employé concerné.
Article 7 : Respect des droits et libertés des employés protégés
Des mesures particulières doivent être prises afin que les conditionsde mise en oeuvre et d’utilisation des services de téléphonien’entravent pas l’exercice des droits reconnus par la loi en matière dedroits et libertés des représentants des personnels et des employésprotégés. A cet effet, ils doivent pouvoir disposer d’une lignetéléphonique excluant toute possibilité d’interception de leurscommunications ou d’identification de leurs correspondants.
Article 8 : Sécurités
Des mesures de sécurité physique et logique doivent être prises afin depréserver la sécurité du traitement et des informations, d’empêcherqu’elles ne soient déformées, endommagées ou communiquées à des tiersnon autorisés.
Article 9 : Information et droit d’accès
L’information des utilisateurs sur les finalités et les fonctions destraitements mis en oeuvre, sur les destinataires des informations et surles modalités d’exercice de leur droit d’accès et de rectification,doit être assurée par tout moyen approprié, notamment par voied’affichage ou de diffusion de note explicative préalablement à la miseen fonction de ce traitement. En particulier, lorsque l’entreprise,l’administration ou l’organisme envisage de mettre en oeuvre un suiviindividuel de l’utilisation des services de télécommunications, dans lerespect des dispositions de la présente norme, il doit être procédé àla consultation des instances représentatives du personnel conformémentaux textes en vigueur.
Article 10 : Publication au Journal officiel
La présente délibération sera publiée au Journal officiel de la République française.
Le Président, Alex Türk