Données personnelles

Légalité des applications mobiles de gestion du personnel | 6 janvier 2020

La mise en place d’une application mobile visant à optimiser la gestion du personnel des activités des salariés n’est pas illégale en soi et peut être déployée sous réserve de respecter les conditions ci-après.      

Finalité légitime de l’application mobile

Dans l’affaire Air France, la Cour de cassation a validé le principe que le recours à une application informatique, qui permet de consigner divers événements tels qu’une panne sur un vol ou l’empêchement pour un pilote d’assurer le vol prévu (retard, arrêt maladie, problème familial, décès ou état de santé d’un proche) ou un incident avec les membres de l’équipage ou les passagers d’un vol, se trouve justifié, d’une part, en raison du caractère nomade des pilotes – lesquels passent épisodiquement dans les locaux – et de leurs managers – présents dix jours par mois dans l’entreprise -, d’autre part au regard de la taille de la flotte d’Air France (3 900 pilotes, 1 900 vols par jour) nécessitant une gestion optimale des plannings des pilotes par leurs managers et une attention particulière à la sécurité des vols.

Une application mobile, en ce qu’elle est dédiée au suivi de l’activité journalière et des événements liés à l’exploitation, répond à une finalité légitime, celle d’une organisation optimale de l’exploitation, au regard des contraintes inhérentes à l’activité de l’employeur.

Validation de l’application « Fidèle »

Depuis 2005, la société Air France dispose d’un outil informatique dénommé « Main Courante divisions de vol » et déclaré auprès de la Commission nationale de l’informatique et des libertés (la CNIL) comme ayant pour finalité d’être un outil informatique réservé à l’encadrement des Personnels navigants techniques (PNT) et permettant un suivi de l’activité journalière et un passage de consignes entre les cadres de permanence des sites de Roissy et d’Orly, ces informations ayant pour but d’informer les cadres sur les événements liés à l’exploitation et les demandes particulières des pilotes, cette finalité n’ayant fait l’objet d’aucune critique de la part de la CNIL au moment de sa déclaration en 2005.

Le « fichier des événements liés à l’exploitation » (« Fidele ») de l’application mobile satisfaisait aux prescriptions de l’article 7 § 5° de la loi du 6 janvier 1978, au motif que l’intérêt du traitement, en ce qu’il permettait de s’assurer que tout événement notable dans la vie du pilote, d’ordre technique ou personnel, fût pris en compte par les managers grâce à un suivi de l’activité journalière et des événements liés à l’exploitation et d’aménager et de modifier les plannings des pilotes en fonction d’éléments liés à des événements personnels ou d’incidents d’ordre professionnel, n’apparaissait pas contraire aux dispositions de l’article 7 de la loi du 6 janvier 1978.

Traitement des données collectées  

Le traitement interfacé à l’application mobile ne pourra porter que sur des données à caractère personnel qui satisfont aux conditions suivantes: i) les données sont collectées et traitées de manière loyale et licite ; ii) elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités.

Le traitement ultérieur de ces données à des fins statistiques est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes du RGDP et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ;  iii) elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ; iv) elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données  inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ; v) elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.

Information et transparence vis-à-vis des salariés

Outre la consultation du personnel, les salariés concernés devront être informés de l’existence de ce traitement, de sa finalité, des destinataires des données collectées et des droits d’accès aux données nominatives les concernant. Dans l’affaire Air France, les salariés avaient été informés préalablement de l’existence de ce traitement automatisé des données à caractère personnel, de sa finalité, des destinataires des données collectées et de leurs droits d’accès, de rectification et de suppression depuis sa date de création, par le biais d’un mémo circularisé sous forme papier et disponible de manière constante sur l’intranet qui leur était dédié, et qu’ils pouvaient à tout moment accéder directement à l’événement, lors de sa création et une fois l’événement traité par le « manager », pour y ajouter leurs commentaires.


Nature des données collectées

A noter que les indications relatives aux arrêts de travail des salariés ne faisaient pas apparaître le motif de l’absence de sorte qu’elles ne pouvaient être considérées comme une donnée relative à l’état de santé bénéficiant de la protection prévue à l’ancien article 8 de la loi n°78-17 du 6 janvier 1978.  Les deux cas relatés de mention de la qualité de gréviste dans le fichier étaient isolés, ancien pour l’un d’eux, rectifiés et résultaient d’erreurs commises par les utilisateurs que l’entreprise s’efforçait d’éviter en leur diffusant une liste de termes génériques, l’application mobile n’offrait donc pas la possibilité de collecter des données illicites. Téléchargez la décision

Haut
error: Content is protected !!