Une nouvelle norme simplifiée relative à l’enregistrement des conversations téléphoniques des salariés
En raison de la multiplication des services hotlines, la CNIL a adopté une nouvelle norme simplifiée n°57 visant à encadrer les traitements de données personnelles mis en œuvre par les entreprises publiques ou privées dans le cadre de l’enregistrement et l’écoute des conversations téléphoniques intervenant sur le lieu de travail dans le cadre de l’activité professionnelle des salariés.
Cette délibération permet aux employeurs de remplir leurs obligations déclaratives de façon plus simple et rapide en formalisant sur le site de la CNIL un engagement de conformité à cette norme. Néanmoins le bénéfice de cette procédure simplifiée est soumis au strict respect du cadre fixé par la CNIL.
Ainsi, un certain nombre de traitements sont exclus du périmètre de la norme tels que les traitements réalisés par des organismes collectant des données sensibles (ex : SAMU), les enregistrements audiovisuels, les enregistrements faisant l’objet d’un couplage avec les données provenant d’une capture d’écran du poste informatique de l’employé. Mais surtout, la norme simplifiée s’applique uniquement aux traitements destinés à l’écoute et l’enregistrement ponctuel des conversations téléphoniques des salariés. L’enregistrement permanent ou systématique de tous les appels sur le lieu de travail est donc exclu du champ de la norme, y compris lorsque ces enregistrements sont effectués à des fins probatoires sauf si un texte légal l’impose.
Les finalités sont également limitées et doivent porter sur la formation des employés, leur évaluation et/ou l’amélioration de la qualité du service. La norme simplifiée est applicable aux documents d’analyse, tels que les comptes rendus ou les grilles d’analyse réalisés dans le cadre des écoutes et des enregistrements, dans la mesure où ils poursuivent l’une ou plusieurs des finalités précitées.
La norme simplifiée couvre les données personnelles des salariés et des appelants (clients, consommateurs, etc.). Les données collectées doivent être adéquates, pertinentes et non excessives au regard des finalités autorisées. Elles peuvent porter sur les données d’identification de l’employé et de l’évaluateur, les informations techniques relatives à l’appel (date, heure et durée de l’appel), l’évaluation professionnelle de l’employé.
Les enregistrements ne doivent pas être conservés au-delà de six mois à compter de leur collecte et la durée de conservation des documents d’analyse des écoutes ne peut excéder un an. La norme rappelle que les employés ainsi que leurs interlocuteurs doivent être informés des caractéristiques du traitement (identité du responsable, finalité, catégorie de données traitées, destinataires, droits informatique et libertés, transfert de données). Plus particulièrement, les personnes doivent être informées de leur droit d’opposition avant la fin de la collecte des données les concernant pour être en mesure d’exercer ce droit.
Enfin pour garder le bénéfice de cette norme simplifiée le responsable de traitement est tenu d’adopter une politique de confidentialité, de sécurité et de traçabilité afin de préserver l’intégrité des informations enregistrées dans les traitements mis en œuvre et d’empêcher tout accès frauduleux ou utilisation détournée. Cette politique doit conduire à la mise en place de mesures de protection physiques et logiques.
Les transferts de données en dehors de l’Union Européenne sont également autorisés dès lors que les conditions prévues par la loi Informatique et Libertés sont réunies (Safe Harbor, adoption des clauses contractuelles types ou de règles internes d’entreprises).
Les règles édictées par la CNIL dans cette norme simplifiée n°57 visent à apporter des garanties aux salariés faisant l’objet d’une écoute afin d’améliorer le traitement des conversations téléphoniques. En effet, ce type de traitement peut amener l’employeur à contrôler les prestations des salariés puisque l’une des finalités peut porter sur leur évaluation. Cependant cette écoute ne peut conduire à une surveillance permanente et systématique et seules les personnes chargées de la formation des employés, de leur évaluation et de l’amélioration de la qualité des services peuvent être destinataires des données du traitement, dans la limite de leurs attributions respectives.
Si le traitement mis en place par l’employeur n’est pas strictement conforme au champ d’application prévu par la norme simplifiée, il est alors nécessaire d’établir une déclaration normale, c’est-à-dire une déclaration dans laquelle le responsable devra décrire l’ensemble des caractéristiques du traitement. Le fait de ne pas respecter, y compris par négligence, les normes simplifiées établies par la CNIL est puni de cinq ans d’emprisonnement et de 300.000€ d’amende, cette amende pouvant être multipliée par cinq pour les personnes morales.
Sabine DELOGES
Téléchargez cet article au format .pdf
Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine