Le critère du contrôle de la messagerie : flux et données

Une messagerie électronique d’entreprise doit être déclarée à la CNIL uniquement si elle est assortie d’un contrôle de son utilisation par l’employeur (contrôle de flux).  En effet, il est usuel, pour des exigences de sécurité, de prévention ou de performance, que l’employeur mette en place des outils de contrôle de la messagerie (outils de mesure de la fréquence, de la taille des messages, détection des virus, filtres « anti-spam » ….).

Ces dispositifs de contrôle de la messagerie doivent faire l’objet d’une consultation du comité d’entreprise et d’une information individuelle des salariés. Ces derniers doivent notamment être informés de la finalité du dispositif et de la durée pendant laquelle les données de connexion sont conservées ou sauvegardées. En cas d’archivage automatique des messages électroniques, les salariés doivent également être informés des modalités de l’archivage, de la durée de conservation des messages, et des modalités d’exercice de leur droit d’accès. Une messagerie professionnelle assortie d’un dispositif de contrôle doit faire l’objet d’une déclaration à la CNIL au moyen de la norme simplifiée (NS) n° 46 du 13 janvier 2005.

Preuve admissible devant les juridictions

Il a été jugé que l’absence de déclaration simplifiée d’un système de messagerie électronique professionnelle non pourvu d’un contrôle individuel de l’activité des salariés, qui n’est dès lors pas susceptible de porter atteinte à la vie privée ou aux libertés au sens de l’article 24 de la loi du 6 janvier 1978, ne rend pas illicite la production en justice des courriels adressés par l’employeur ou par le salarié dont l’auteur ne peut ignorer qu’ils sont enregistrés et conservés par le système informatique.

Périmètre de la norme simplifiée NS n° 46

La norme simplifiée n° 46 concerne la gestion des ressources humaines des organismes publics et privés. Pour bénéficier de cette déclaration simplifiée, le traitement doit avoir pour finalités la gestion administrative des personnels (dossier professionnel, annuaires, élections professionnelles…) ; la mise à disposition d’outils informatiques (suivi et maintenance des matériels, annuaires informatiques, messagerie électronique, intranet…) ; l’organisation du travail (agendas professionnels, gestion des tâches) ; la gestion des carrières (évaluation, validation des acquis, mobilité…) ; la formation des personnels.

Les destinataires des données sont les personnes habilitées chargées de la gestion du personnel ; les supérieurs hiérarchiques des salariés ; les instances représentatives du personnel et les délégués syndicaux. Les données peuvent, sous certaines conditions, être transmises vers un pays situé hors de l’union européenne. Les données doivent être supprimées après le départ de la personne concernée. Les personnes concernées doivent être informées de l’existence du traitement, conformément aux dispositions de la loi du 6 janvier 1978.

Données personnelles concernées par la NS 46

Pour l’identification de l’employé :

Identité : nom, prénom, photographie (facultatif), sexe, date et lieu de naissance, nationalité, coordonnées professionnelles, coordonnées personnelles (facultatif), matricule interne, références du passeport (uniquement pour les personnels amenés à se déplacer à l’étranger) ; type, numéro d’ordre et copie du titre valant autorisation de travail pour les employés étrangers en application de l’article R. 620-3 du code du travail ; le cas échéant, coordonnées des personnes à prévenir en cas d’urgence ; distinctions honorifiques (facultatif).

Pour la gestion administrative de l’employé :

Gestion de la carrière de l’employé : date et conditions d’embauche ou de recrutement, date, objet et motif des modifications apportées à la situation professionnelle de l’employé, simulation de carrière, desiderata de l’employé en termes d’emploi, sanctions disciplinaires à l’exclusion de celles consécutives à des faits amnistiés.

Gestion des déclarations d’accident du travail et de maladie professionnelle : coordonnées du médecin du travail, date de l’accident ou de la première constatation médicale de la maladie professionnelle, date du dernier jour de travail, date de reprise, motif de l’arrêt (accident du travail ou maladie professionnelle), travail non repris à ce jour ;

Evaluation professionnelle de l’employé : dates des entretiens d’évaluation, identité de l’évaluateur, compétences professionnelles de l’employé, objectifs assignés, résultats obtenus, appréciation des aptitudes professionnelles sur la base de critères objectifs et présentant un lien direct et nécessaire avec l’emploi occupé, observations et souhaits formulés par l’employé, prévisions d’évolution de carrière ;

Validation des acquis de l’expérience : date de la demande de validation, diplôme, titre ou certificat de qualification concerné, expériences professionnelles soumises à validation, validation (oui/non), date de la décision ;

Formation : diplômes, certificats et attestations, langues étrangères pratiquées, suivi des demandes de formation professionnelle et des périodes de formation effectuées, organisation des sessions de formation, évaluation des connaissances et des formations ;

Suivi administratif des visites médicales des employés : dates des visites, aptitude au poste de travail (apte ou inapte, propositions d’adaptation du poste de travail ou d’affectation à un autre poste de travail formulées par le médecin du travail) ; type de permis de conduire détenu par l’employé ; sujétions particulières ouvrant droit à congés spéciaux ou à un crédit d’heures de délégation (telles que l’exercice d’un mandat électif ou représentatif syndical, la participation à la réserve opérationnelle ou aux missions de sapeur-pompier volontaire).

Pour l’organisation du travail :

Annuaires internes et organigrammes : nom, prénom, photographie (facultatif), fonction, coordonnées professionnelles, le cas échéant, formation et réalisations professionnelles ; agendas professionnels : dates, lieux et heures des rendez-vous professionnels, objet, personnes présentes ; tâches des personnels : identification des personnels concernés, répartition des tâches ; gestion des dotations individuelles en fournitures, équipements, véhicules et cartes de paiement : gestion des demandes, nature de la dotation, dates de dotation, de maintenance et de retrait, affectations budgétaires ; annuaires informatiques permettant de définir les autorisations d’accès aux applications et aux réseaux ; données de connexion enregistrées pour assurer la sécurité et le bon fonctionnement des applications et des réseaux informatiques, à l’exclusion de tout traitement permettant le contrôle individuel de l’activité des employés ; messagerie électronique : carnet d’adresses, comptes individuels, à l’exclusion de toute donnée relative au contrôle individuel des communications électroniques émises ou reçues par les employés ; réseaux privés virtuels de diffusion ou de collecte de données de gestion administrative des personnels (intranet) : formulaires administratifs internes, organigrammes, espaces de discussion, espaces d’information.

Pour l’action sociale et la représentation du personnel :

Gestion des activités sociales et culturelles mises en oeuvre par l’employeur : identité de l’employé et de ses ayants droit ou ouvrants droit, revenus, avantages et prestations demandés et servis ; élections professionnelles : établissement de la liste électorale (identité des électeurs, âge, ancienneté, collège), gestion des candidatures (identité, nature du mandat sollicité, éléments permettant de vérifier le respect des conditions d’éligibilité, le cas échéant appartenance syndicale déclarée par les candidats) et publication des résultats (identité des candidats, mandats concernés, nombre et pourcentage de suffrages obtenus, identité des personnels élus et, le cas échéant, appartenance syndicale des élus) ; gestion des réunions des instances représentatives du personnel : convocations, documents préparatoires, procès-verbaux.

Les données exclues de la NS 46

Messagerie électronique : toute donnée relative au contrôle individuel des communications électroniques émises ou reçues par les employés ; sanctions disciplinaires ayant fait l’objet d’une amnistie. Source : CA de Grenoble, 12/10/2017