Disposer d'un fichier de données sur les ressources humaines, à l'heure des TIC (technologies de l'information et de la communication), relève du quotidien de l'entreprise.
Transférer ces données à l'étranger, là où la gestion des ressources humaines est centralisée, est également chose commune pour une société intégrée dans une dimension internationale.
Mais si cette opération peut paraître simple techniquement, elle n'en soulève pas moins de nombreux écueils juridiques, qui peuvent coûter cher, comme l'a prouvé la Cnil, dans une délibération du 14 décembre 2006.
Après avoir déclaré un traitement de données ayant pour finalité la «gestion des carrières à l'international», la société Tyco Healthcare France est sollicitée par la Cnil, qui souhaite obtenir certains éléments pour l'instruction du dossier.
Faute de réponse, la Cnil met la société en demeure de répondre. Invoquant une scission des activités de la société, cette dernière fait savoir que le traitement a été suspendu.
La Cnil décide alors de procéder à un contrôle sur place, découvrant, à cette occasion, que non seulement le traitement des données était toujours utilisé, mais aussi que, loin de ne constituer qu'un simple « reporting » vis-à-vis de la hiérarchie européenne, comme l'indiquait la déclaration, il s'agissait d'un outil de gestion essentiel de la politique salariale du groupe, servant notamment à la gestion des stock-options, de la formation professionnelle, du niveau des rémunérations et de la mobilité interne.
La sanction se monte à 30 000 euros, pour « manque de coopération et de transparence ».
Cette sanction est l'occasion de rappeler que la loi «informatique et libertés» du 6 janvier 1978, modifiée le 6 août 2004, impose un certain nombre d'obligations en matière de fichiers de données personnelles, dont le respect est assuré par le biais d'un système de déclaration auprès de la Cnil.
S'agissant des fichiers de «ressources humaines», la Cnil a créé un système de « déclaration simplifiée », permettant à l'entreprise de n'adresser qu'une déclaration sur l'honneur, dans laquelle elle certifie respecter les caractéristiques énoncées dans la norme simplifiée n° 46.
Faute de pouvoir procéder à une déclaration simplifiée, l'entreprise est alors tenue d'adresser une déclaration à la Cnil, dans laquelle elle indique, notamment, la nature des données recueillies et le traitement dont ces données doivent faire l'objet.
La procédure devient plus complexe si l'entreprise est amenée à transférer ces données à l'étranger.
Tant que les données restent au sein de l'Union européenne, la Directive européenne du 24 octobre 1995 garantit leur libre circulation.
Mais, hors de l'Union européenne, la loi du 6 janvier 1978 modifiée impose que le pays vers lequel les données sont transférées assure un niveau de protection suffisant de la vie privée, des libertés et des droits des personnes concernées. Si tel n'est pas le cas, la mise en place du traitement de données doit donner lieu à la conclusion d'un contrat de transfert ou à l'adoption de règles internes de l'entreprise devant faire l'objet d'une décision favorable de la Cnil.
Casse-tête garanti étant donné le nombre et la technicité des informations à communiquer, mais surtout au regard des finalités exigées par le groupe international sur le traitement des données, d'une part, et des restrictions posées par la législation française, d'autre part.
Et, en la matière, il n'y a pas de déclaration d'intention qui tienne... La Cnil est là pour rappeler qu'elle veille au respect des promesses !
> Mary-Daphné Fishselson
Avocate associée
Lefèvre Pelletier & associés
