Faut-il déclarer la base de données économiques et sociales (BDES) à la CNIL
La Commission nationale de l’informatique et des libertés (CNIL) est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à la vie privée, ni aux libertés individuelles ou publiques. Dans ce cadre, la publication de certaines données personnelles doit faire l’objet d’une déclaration préalable auprès de la CNIL. Quelles sont-elles ?
Le principe : absence d’obligation de déclarer à la CNIL la BDES
Le Conseil d’Etat considère que la version informatique de la base de données ne nécessite pas une autorisation de la Commission nationale de l’informatique et des libertés, étant donné qu’il n’y a aucune transmission de données nominatives.
Dans deux hypothèses, il est nécessaire de faire une déclaration préalable auprès de la CNIL :
- si la BDES contient des données personnelles ;
- si l’accès à la BDES suppose de renseigner des informations nominatives sur les utilisateurs concernés. A savoir si l’accès réservé à certains élus, avec identification des personnes ayant consulté la base de données.
Les données personnelles qui dérogent à la règle
Si les informations transmises à la base de données économiques et sociales sont des données personnelles, alors vous devez les déclarer à la CNIL.
Il y a certaines dérogations qui ne nécessitent pas de déclaration préalable à la CNIL. Ce sont :
- Les données concernant la gestion des activités sociales et culturelles des comités d’entreprise et des comités d’établissement,
- Les traitements des sous-traitants Français pour le compte de clients établis hors Union Européenne,
- Les données de gestion de la paie,
- Les données personnelles utilisées à des fins d’informations et de communication externe,
- Les données personnelles enregistrées en cas de plan de continuité d’activité relatifs à une pandémie grippale mise en œuvre par l’employeur,
- Les données concernant les listes d’initiés. C’est-à-dire les personnes ayant accès à des informations privilégiées.
A contrario, toutes les autres données personnelles doivent faire l’objet d’une déclaration préalable auprès de la CNIL.
Notez-le : Les données personnelles peuvent être collectées à condition que celles-ci soient pertinentes et en adéquation avec les finalités pour lesquelles elles sont collectées, à savoir la Base de données économiques et sociales. C’est-à-dire une présentation de la situation de l’entreprise.
Il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître :
- les origines raciales ou ethniques,
- les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes,
- ou qui sont relatives à la santé ou à la vie sexuelle.
Les modalités de déclaration à la CNIL
Chaque année il faut faire une déclaration à la CNIL, car les données doivent être mises à jour tous les ans.
Il faut remplir un formulaire disponible sur le site de la CNIL (ww.cnil.fr).
En cas de non-respect de cette procédure, la CNIL peut se réunir et prononcer à l’encontre de l’entreprise diverses sanctions, telles que :
- un avertissement public ou non public ;
- une sanction pécuniaire ;
- une injonction à cesser le traitement des données.
Loi n°78-17 du 6 janvier 1978 Informatique et Libertés
CE, 12 mars 2014, n° 354629