DELIBERATION n°2016-189 du 30 juin 2016

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2016-189 du 30 juin 2016
Délibération n° 2016-189 du 30 juin 2016 autorisant la Caisse d’épargne Ile-de-France à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des incivilités.
Etat: VIGUEUR

(Demande d’autorisation n° 1855810)
La Commission nationale de l'informatique et des libertés,
Saisie par la Caisse d’épargne Ile-de-France d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des incivilités ;
Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25-I-4° et 23-I-3° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu le dossier et ses compléments ;
Sur la proposition de M. Jean-Luc VIVET, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :

Responsable du traitement
La Caisse d’épargne Ile-de-France, ci-après CEIDF.
Sur la finalité
Le traitement mis en œuvre vise la gestion des incivilités commises par les clients à l’encontre des salariés de CEIDF.
Le traitement mis en œuvre par la CEIDF a pour finalité la gestion et le traitement des incivilités commises par les clients actuels ou potentiels a l'encontre des salaries de la CEIDF. il permet également d'effectuer des rapports et un suivi statistique de ces incivilités.
Les incivilités peuvent être des agressions verbales (injures, insultes ou menaces), des agressions comportementales (harcèlement, chantage, bruits et tapage injurieux…) Ce traitement a pour objectif de permettre le recensement des évènements survenus à l’encontre des collaborateurs. Le collaborateur est libre de déposer plainte ou non à l’encontre de la personne à l’origine de l’incivilité. Si le collaborateur décide de déposer plainte, il a la possibilité de demander au service des affaires juridiques de CEIDF de l’assister dans son action en justice (conseils juridiques, accompagnement lors du dépôt de plainte). En outre, des mesures d’accompagnement médicales, sociales ou psychologiques, peuvent être apportées au collaborateur.
Un suivi statistique de ces incivilités est réalisé afin d’identifier les récurrences. Dans ce cadre, aucune donnée à caractère personnel ne sera traitée ; (ces rapports et statistiques étant anonymisés et aucun fichier de données ne sera constitué à cette occasion).
La Commission estime que ces finalités sont déterminées, explicites et légitimes.
Les mesures prises par CEIDF sont graduées en fonction du niveau de gravité de l’incivilité. La survenance de l’incident peut conduire à une simple prise de rendez-vous avec le client ou à l’envoi d’une lettre d’avertissement. Dans les hypothèses les plus graves, la banque peut décider de mettre un terme à la relation contractuelle avec le client auteur de l’incivilité. Les circonstances de la rupture ne sont connues que par l’agence concernée par cet événement. Ce traitement peut ainsi, du fait de sa nature et de sa finalité, conduire à l’exclusion de personnes du bénéfice d’un droit ou d’un contrat en l’absence de toutes dispositions légales ou réglementaires prévoyant une telle exclusion. Dès lors, il relève du 4° du I de l’article 25 de la loi du 6 janvier 1978 modifiée en 2004 et doit, à ce titre, faire l’objet d’une autorisation de la CNIL.
En outre, ce traitement porte sur des données relatives à des infractions. A cet égard, l’article 9 de la loi du 6 janvier 1978 modifiée liste les personnes pouvant mettre en œuvre un traitement de données relatives aux infractions, condamnations et mesures de sûreté. Conformément à la décision du Conseil Constitutionnel du 29 juillet 2004, les victimes d’infractions susceptibles de faire valoir leurs droits devant une juridiction peuvent également procéder à la collecte des données relatives à ces infractions.
La Commission considère qu’il y a également lieu de faire application de l’article 25-I-3° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements de données relatives aux infractions et mesures de sûreté.
Sur les données traitées
Les catégories de données traitées sont relatives :
  • à l’identité des collaborateurs concernés : nom, prénom, identifiant CEIDF, identifiant, numéro d’utilisateur ;
  • aux incivilités et aux suites données : descriptif de l'incivilité, événement déclencheur et /ou mesures consécutives associées.
La Commission considère, compte tenu de la finalité poursuivie, que la collecte de ces données est pertinente, adéquate et non excessive au sens de l'article 6 de la loi du 6 janvier 1978 modifiée.
Sur les destinataires
Les personnes destinataires du traitement sont :
  • les responsables hiérarchiques du salarié victime ;
  • les directions siège (contentieux, sécurité et santé) ;
  • les responsables des « Relations sociales », qui accèdent aux informations pour réaliser le rapport statistique ;
  • le CHSCT et les organes de contrôle interne (pour les rapports statistiques) ;
  • le responsable Prévention de risques professionnels ;
  • l’agence du client (en cas de rupture de la relation).
La liste de ces destinataires n'appelle pas d'observation particulière.
Sur l’information et le droit d’accès
Conformément aux dispositions de l’article 32 de la loi du 6 janvier 1978 modifiée, les collaborateurs de la CEIDF sont informés de l’existence de ce traitement ainsi que des modalités d’exercice de leurs droits d’accès, de rectification et d’opposition par une mention d’information qui figure dans la procédure des ressources humaines. Cette procédure rappelle notamment que le collaborateur peut accéder directement et à tout moment au fichier de gestion des incivilités et consulter les déclarations le concernant.
Les clients sont informés de la mise en œuvre de ce traitement via un affichage en agence. Dès lors qu’une déclaration d’incivilité a été effectuée et que l’identité du client auteur des incivilités est formellement établie, ce dernier est informé par l’envoi d’un courrier.
Les droits d’accès, de rectification et d’opposition s’exercent auprès du service conformité de la direction technique et sécurité / service relations clientèle, au 26-28 rue Neuve Tolbiac, CS91344/75633 PARIS CEDEX15.
La Commission considère que l’information est suffisante au regard de l’article 32 de la loi du 6 janvier 1978 modifiée.
Sur les mesures de sécurité
Les actions effectuées par les personnes habilitées à accéder à au fichier des incivilités sont tracées afin de permettre de détecter et d’analyser tous les accès, modifications et suppressions de données non autorisés.
Les dates et heures de connexion, les opérations effectuées ainsi que les identifiants « utilisateurs » font l’objet d’une journalisation.
Il existe un mécanisme d’authentification des personnes habilitées à accéder à l’application avec des profils d’habilitation et un contrôle d’accès logique qui se fait par mot de passe. Les mesures de sécurité mises en place n’appellent pas d’observation.
Sur les autres caractéristiques du traitement
Les données personnelles contenues dans l’outil de gestion des incivilités commerciales sont conservées pendant une durée maximale d’un an afin de constituer des éléments permettant de donner une suite judiciaire au dossier ou de le clôturer. Une fois ce délai passé, les dossiers sont versés en base archive avec un périmètre de consultation restreint au directeur des moyens généraux et à sa secrétaire.

Les données relatives à l’évènement sont conservées de manière anonyme sur une période de 2 ans à compter de la date de l’incident afin de réaliser des statistiques.
La Commission considère que ces durées de conservation sont pertinentes au regard de la finalité poursuivie par le traitement. En cas de rupture de la relation commerciale avec le client auteur de l’incivilité, les circonstances de la rupture ne sont pas connues du réseau des agences de CEIDF. En conséquence, il est possible pour le client de reprendre une relation commerciale auprès d’une autre agence du réseau.
Ces autres caractéristiques du traitement n’appellent pas d’observation particulière de la Commission.

Autorise, conformément à la présente délibération, la Caisse d’épargne Ile-de-France à mettre en œuvre le traitement susmentionné.
Pour La Présidente,
Le Vice-Président délégué,
Marie-France MAZARS




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 25 août 2016