Employeurs

Activité sociales et culturelles :
Les traitements de gestion des activités sociales et culturelles mis en œuvre par les comités d'entreprise ou d'établissement, ainsi que par les comités centraux d'entreprises, les comités de groupe, les comités interentreprises ou les délégués du personnel sont des traitements courants qui ne sont pas susceptibles de porter atteinte à la vie privée des salariés et des membres de leurs familles. La Commission estime, en conséquence, qu'il y a lieu de faire application des dispositions de l'article 24-II de la loi du 6 janvier 1978 modifiée et de dispenser ces traitements de toute formalité déclarative préalable dès lors qu'ils répondent aux conditions contenues dans sa délibération n°2006-230 du 17 octobre 2006.

Alerte professionnelle :
Un dispositif d'alerte professionnelle est un système mis à la disposition des employés d'un organisme public ou privé pour les inciter, en complément des modes normaux d'alerte sur les dysfonctionnements de l'organisme, à signaler à leur employeur des comportements qu'ils estiment contraires aux règles applicables et pour organiser la vérification de l'alerte ainsi recueillie au sein de l'organisme concerné. Constate que les dispositifs d'alerte professionnelle («whistleblowing») mis en œuvre sur les lieux de travail peuvent prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d'exclure des personnes du bénéfice de leur contrat de travail en l'absence de toute disposition législative ou réglementaire. Dès lors, de tels dispositifs constituent des traitements relevant de l'article 25-I 4° de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL. En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la Commission a adopter une décision unique d'autorisation pour des traitements répondant notamment aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques (n°AU-004 - Délibération n° 2005-305 du 8 décembre 2005). Le responsable de traitement mettant en œuvre un dispositif d'alerte professionnelle dans le respect des dispositions de cette décision unique adresse à la Commission un engagement de conformité à la présente autorisation. Décide que les responsables de traitement qui adressent à la Commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.

Biométrie pour l’accès et la restauration sur les lieux de travail :
La gestion des contrôles de l’accès physique à l'entrée des lieux de travail et dans les zones limitativement identifiées de l'organisme faisant l'objet d'une restriction de circulation peut s’effectuer grâce à la mise en œuvre de traitements automatisés de données à caractère personnel reposant sur l’utilisation d’un dispositif de reconnaissance du réseau veineux des doigts de la main. Dès lors, de tels dispositifs relèvent de l’article 25-I-8° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements comportant des données biométriques nécessaires au contrôle de l’identité des personnes. Il y a lieu, en l’état des connaissances sur la technologie utilisée, de faire application des dispositions de l’article 25-II aux termes duquel les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et les mêmes destinataires ou catégories de destinataires peuvent être autorisés par une décision unique de la Commission. Le responsable de traitement mettant en œuvre un dispositif reposant sur la reconnaissance du réseau veineux des doigts de la main dans le respect des dispositions de cette décision unique adresse à la Commission un engagement de conformité de celui-ci aux caractéristiques de la présente autorisation. Décide que les responsables de traitement qui adressent à la Commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.