En principe, la formalité préalable applicable aux traitements de gestion des contentieux et précontentieux est la demande d’autorisation (article 25 de la loi Informatique et libertés), qui induit donc un contrôle a priori par la CNIL et la délivrance de cette autorisation par la CNIL dans un délai plus ou moins long…
Pour simplifier les démarches des entreprises auprès de la CNIL, cette dernière a publié une « autorisation unique » le 14 janvier 2016 appelée AU-046.
Cette autorisation permet désormais aux responsables de traitements d’adhérer à cette norme s’ils mettaient en place des « fichiers de suivi de leurs contentieux ainsi que l’exécution des décisions rendues », impliquant notamment le traitement de données aux fins de préparer, d’exercer et de suivre une action disciplinaire ou un recours en justice et, le cas échéant, de faire exécuter la décision rendue.
Sont donc visées toutes les procédures disciplinaires et judiciaires que pourraient mettre en œuvre une entreprise pour son compte. A noter, cette demande d’autorisation ne s’étend pas aux auxiliaires de justice pour les besoins de leurs clients.
Ainsi, la CNIL a reçu de nombreuses demandes d’autorisation pour des traitements dont la finalité semblait commune et a enfin estimé qu’il fallait automatiser cette procédure. Elle a donc délibéré en ce sens : « Délibération n° 2016-005 du 14 janvier 2016 portant autorisation unique de traitements de données à caractère personnel mis en œuvre par les organismes publics et privés pour la préparation, l’exercice et le suivi de leurs contentieux ainsi que l’exécution des décisions rendues (AU-046) ».
Les responsables de traitements de données à caractère personnel vont pouvoir bénéficier plus facilement de l’autorisation unique AU- 046 pour un fichier plus que courant en entreprise. C’est une très belle avancée.
Toutefois certains points restent compliqués à gérer en interne pour les entreprises du fait que l’autorisation unique n°46 prévoit que le responsable de traitement doit informer les personnes objet des procédures par une mention spécifique. Or cela peut paraître stratégiquement compliqué dans un précontentieux judiciaire ou la préparation d’un dossier de sanction disciplinaire.
En outre, la CNIL n’exclut pas le droit d’accès aux données par la personne concernée, ce qui peut également paraître inadapté aux procédures actuelles de gestion des négociations précontentieuses. Elle le limite toutefois aux modalités d’accès aux données lorsque des règles spéciales régissent la communication de pièces dans une procédure, l’exercice du droit d’accès prévu par l’article 39 de la loi du 6 janvier 1978 modifiée doit intervenir conformément aux règles spéciales en vigueur.
Un dernier point reste quelque peu gênant concernant les données collectées :
- D’une part, on peut apprécier le fait que la CNIL ait bien prévu la possibilité de collecter des données relative à la santé ou des problématiques économiques et financière. Cette dernière précise toutefois que cela est permis :
- « pour établir des faits susceptibles d’être reprochés, de traiter des données relatives à la vie professionnelle, à la vie personnelle, à des informations économiques et financières ou à la santé, sous réserve que les données en question soient indispensables pour atteindre l’une des finalités prévues à l’article 1er de la présente délibération [gestion et suivi des contentieux]. »
- D’autre part, on peut déplorer que dans cette réserve la CNIL n’ait pas prévu d’autres données sensibles telles que l’appartenance syndicale qui est souvent relevée dans le cadre des contentieux prud’homaux. Dès lors, ces contentieux ne sont-ils pas couverts par l’AU-046 ?
En conclusion il est principalement impératif :
d’auditer son traitement pour s’assurer que la finalité et les données collectées sont bien celles prévues à l’AU-046 ;
de mettre en place les mesures adéquates, et au mieux des intérêts de l’entreprise pour l’information et le droit d’accès des personnes concernées ;
assurer un accès restreint aux données par les services et intervenants concernés ;
assurer la sécurité des traitements comme indiqué à l’article 7 de l’AU-046 ;
se conformer aux durées de conservation qui tournent principalement autour des règles de prescription classique ;
encadrer contractuellement les flux transfrontières de données lorsque les données sont transférées en dehors de l’Union européenne.
Dans l’ensemble, avant d’adhérer à la AU-046 il convient de veiller à ce que le traitement mis en œuvre correspond bien aux dispositions de cette norme. A défaut, l’adhésion à cette norme serait erronée serait donc passible de sanctions par la CNIL et par le Code pénal.
