Délibération n° 2014-474 du 27 novembre 2014 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics et privés destinés à l'écoute et à l'enregistrement des conversations téléphoniques sur le lieu de travail (NS 057)

JORF n°0004 du 6 janvier 2015
texte n° 43



Délibération n° 2014-474 du 27 novembre 2014 portant adoption d'une norme simplifiée relative aux traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics et privés destinés à l'écoute et à l'enregistrement des conversations téléphoniques sur le lieu de travail (NS 057)

NOR: CNIL1431133X
ELI: Non disponible


La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, modifiée par le règlement (CE) n° 1882/2003 du Parlement européen et du Conseil du 29 septembre 2003 ;
Vu la directive n° 2002/58 du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée par la directive 2006/24/CE du 15 mars 2006 et par la directive 2009/136/CE du 25 novembre 2009, notamment son article 5.2 ;
Vu le code de la consommation, notamment ses articles L. 121-20 et L. 121-27 ;
Vu le code du travail, notamment son article L. 1121-1 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 6 et 24-I ;
Vu la loi n° 2014-344 du 17 mars 2014 relative à la consommation ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;


Après avoir entendu Mme Marie-France MAZARS, commissaire et vice-présidente déléguée, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
En application de l'article 24-I de la loi du 6 janvier 1978 modifiée, la Commission nationale de l'informatique et des libertés est habilitée à établir des normes destinées à simplifier l'obligation de déclaration des traitements les plus courants dont la mise en œuvre, dans des conditions régulières, n'est pas susceptible de porter atteinte à la vie privée ou aux libertés.
La Commission nationale de l'informatique et des libertés constate le développement de dispositifs d'écoute et d'enregistrement des appels émis et reçus par les employés sur leur lieu de travail.
Ces traitements portent sur des données à caractère personnel et sont soumis aux dispositions de la loi du 6 janvier 1978 modifiée, notamment celles relatives aux formalités préalables.
La commission estime nécessaire d'adopter une norme simplifiée relative à la déclaration des traitements visant à écouter et enregistrer les appels émis et reçus par l'employé sur le lieu de travail.
Décide :

Article 1


Champ d'application.
Seuls peuvent bénéficier de la procédure de déclaration simplifiée de conformité à la présente norme les traitements automatisés utilisés par les organismes publics ou privés relatifs à l'écoute et à l'enregistrement ponctuel des conversations téléphoniques sur le lieu de travail qui répondent aux conditions définies aux articles suivants.
Sont exclus du champ de cette norme :


- les traitements réalisés par des organismes dont les missions consistent à collecter des données sensibles au sens de l'article 8 de la loi du 6 janvier 1978 modifiée ;
- les enregistrements audiovisuels ;
- les écoutes et les enregistrements faisant l'objet d'un couplage avec des données provenant d'une capture d'écran du poste informatique de l'employé ;
- l'enregistrement permanent ou systématique des appels sur le lieu de travail, y compris à des fins probatoires.

Article 2


Finalités du traitement.
Peuvent faire l'objet d'un engagement de conformité à la présente norme simplifiée les traitements de données à caractère personnel destinés à l'écoute et l'enregistrement ponctuel des conversations téléphoniques sur le lieu de travail mis en œuvre par les organismes publics ou privés ayant au moins l'une des finalités suivantes :
a) La formation des employés ;
b) L'évaluation des employés ;
c) L'amélioration de la qualité du service.
La norme simplifiée est applicable aux documents d'analyse, tels que les comptes-rendus ou les grilles d'analyse réalisés dans le cadre des écoutes et des enregistrements, dans la mesure où ils poursuivent l'une ou plusieurs des finalités énoncées ci-dessus.

Article 3


Informations collectées et traitées.
Les données traitées pour la réalisation des finalités décrites à l'article 2 incluent les enregistrements sonores.
Dans le cadre de l'élaboration des documents d'analyse tels que des comptes rendus ou des grilles d'analyse, les données collectées et traitées doivent être adéquates, pertinentes et non excessives au regard des finalités définies à l'article 2. Elles peuvent porter sur :


- les données d'identification de l'employé et de l'évaluateur ;
- les informations techniques relatives à l'appel (date, heure et durée de l'appel) ;
- l'évaluation professionnelle de l'employé.

Article 4


Destinataires et personnes habilitées à traiter les données.
Les personnes chargées de la formation des employés, de leur évaluation et de l'amélioration de la qualité du service peuvent, dans les limites de leurs attributions respectives, avoir accès aux données à caractère personnel collectées.

Article 5


Durées de conservation.
Conformément à l'article 6-5 de la loi, les données ne peuvent être conservées que pour une durée pertinente au regard de la finalité justifiant leur traitement.
Les enregistrements ne doivent pas être conservés au-delà de six mois à compter de leur collecte.
La durée de conservation des documents d'analyse (comptes rendus et grilles d'analyse) établis dans le cadre d'une écoute directe ou différée des appels est fixée à un an maximum.


Information et exercice des droits des personnes.
Conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, les employés ainsi que leurs interlocuteurs doivent être informés :


- de l'identité du responsable de traitement ;
- de la finalité ou des finalités poursuivie(s) par le traitement ;
- des catégories de données traitées ;
- des destinataires ou catégories de destinataires des données ;
- de leurs droits d'accès, de rectification et d'opposition ainsi que des modalités d'exercice de ces derniers ;
- le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne.


Conformément à l'article 96 du décret n° 2005-1309 du 20 octobre 2005 modifié, les personnes doivent être informées de leur droit d'opposition avant la fin de la collecte des données les concernant, pour être en mesure d'exercer ce droit.

Article 7


Politique de confidentialité, de sécurité et de traçabilité.
Le responsable du traitement prend toutes précautions utiles pour préserver la sécurité des données visées à l'article 3, et s'assure de la mise en œuvre de mesures de protection physiques et logiques afin de préserver la sécurité des informations enregistrées dans les traitements mis en œuvre et empêcher tout accès ou utilisation détournée ou frauduleuse de celles-ci, notamment par des tiers non autorisés.
Les accès aux traitements de données mis en œuvre nécessitent une gestion des habilitations et une authentification des personnes accédant aux données, au moyen d'un identifiant et d'un mot de passe individuels suffisamment robustes et régulièrement renouvelés, ou par tout autre moyen d'authentification de même fiabilité, conformément aux recommandations de la commission en la matière.

Article 8


Transfert de données vers l'étranger.
Les transferts de données mentionnées à l'article 3 réalisés vers des pays tiers à l'Union européenne et qui ne sont pas membres de l'Espace économique européen peuvent être effectués dans le cadre de cette norme lorsque l'une des conditions suivantes est réunie :


- les transferts s'effectuent à destination d'un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou d'une entreprise américaine ayant adhéré aux principes du Safe Harbor ;
- le traitement garantit un niveau suffisant de protection de la vie privée et des droits et libertés fondamentaux des personnes par la mise en œuvre des clauses contractuelles types adoptées par la Commission européenne ou par l'adoption de règles internes d'entreprise (dénommées « BCR »), dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant ;
- ils correspondent à l'une des exceptions prévues à l'article 69 de la loi du 6 janvier 1978 modifiée, dont le champ d'application est limité à des cas de transferts ponctuels et exceptionnels. Ainsi, les transferts répétitifs, massifs ou structurels de données personnelles doivent faire l'objet d'un encadrement juridique spécifique (« BCR », clauses contractuelles types ou Safe Harbor).


Le responsable de traitement doit avoir clairement informé les personnes concernées de l'existence de transferts de données vers des pays tiers, dans les conditions prévues par les dispositions de l'article 91 du décret du 20 octobre 2005 modifié (notamment la finalité du transfert, le ou les pays d'établissement du destinataire des données, les moyens mis en œuvre pour encadrer ce transfert…).

Article 9


Publication.
La présente délibération sera publiée au Journal officiel de la République française.


La présidente,

I. Falque-Pierrotin