J.O. 295 du 20 décembre 2005
J.O. disponibles
Alerte par mail
Lois,décrets
codes
AdmiNet
Ce document peut également être consulté sur le site officiel Legifrance
Délibération n° 2005-277 du 17 novembre 2005 modifiant la norme simplifiée n° 46 destinée à simplifier l'obligation de déclaration des traitements mis en oeuvre par les organismes publics et privés pour la gestion de leurs personnels
NOR : CNIX0508901X
La Commission nationale de l'Informatique et des Libertés
Décide :
Article 1
Le septième paragraphe du visa de la norme est modifié comme suit : « Vu la loi no 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi no 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment ses articles 24 et 69, alinéa 8 ».Article 2
Est ajouté à l'article 2 relatif aux finalités du traitement après la gestion des élections professionnelles : « à l'exclusion du cas où est utilisé un dispositif de vote électronique, par code-barres ou par téléphone ».Article 3
L'article 7 est ainsi rédigé :
« Art. 7. - Information des personnes concernées.
Les personnes concernées sont informées de l'identité du responsable du traitement, des finalités poursuivies, du caractère obligatoire ou facultatif des réponses à apporter, des conséquences éventuelles, à leur égard, d'un défaut de réponse, des destinataires des données, le cas échéant, des transferts de données à caractère personnel envisagés à destination d'un Etat non membre de l'Union européenne et de leurs droits d'opposition, pour des motifs légitimes, au traitement de leurs données sauf dans les cas où le traitement répond à une obligation légale, d'accès aux données les concernant et de rectification de ces données.
Cette information est délivrée à tout employé par la remise d'un document écrit ou par voie électronique.
Le responsable du traitement procède également, conformément aux dispositions du code du travail et à la législation applicable aux trois fonctions publiques, à l'information et à la consultation des instances représentatives du personnel avant la mise en oeuvre des traitements visés à l'article 2. »Article 4
L'article 9 devient l'article 10.Article 5
L'article 10 devient l'article 11.Article 6
L'article 11 devient l'article 12.Article 7
L'article 9 est ainsi rédigé :
« Art. 9. - Transfert de données vers l'étranger.
Certains transferts de données à caractère personnel peuvent être réalisés vers des pays tiers à l'Union européenne qui ne sont pas membres de l'Espace économique européen et qui n'ont pas été reconnus par une décision de la Commission européenne comme assurant un niveau de protection adéquat, dès lors que :
- le traitement garantit un niveau suffisant de protection de la vie privée ainsi que des droits et libertés fondamentaux des personnes en raison de la mise en oeuvre des clauses contractuelles types émises par la Commission européenne dans ses décisions du 15 juin 2001 (décision no 2001/497/CE), du 27 décembre 2001 (décision no 2002/16/CE) ou du 27 décembre 2004 (décision no 2004/915/CE) ou par l'adoption de règles internes d'entreprise ayant fait l'objet d'une décision favorable de la Commission nationale de l'Informatique et des Libertés ;
- le responsable de traitement a clairement informé les personnes de l'existence d'un transfert de données vers des pays tiers conformément aux dispositions de l'article 32 de la loi informatique et libertés et de l'article 7 de la présente norme ;
- le responsable de traitement s'engage, sur simple demande de la personne concernée, à apporter une information complète sur : le ou les pays d'établissement du destinataire des données, la finalité du transfert envisagé, la ou les catégories de destinataires des données, la nature de la protection accordée aux données transférées.
Peuvent seuls faire l'objet d'un transfert de données vers une société appartenant au même groupe ou vers un sous-traitant établi dans un pays situé en dehors de l'Union européenne, dès lors qu'ils ne permettent pas un contrôle de l'activité individuelle des salariés, les traitements ayant pour finalité :
- la gestion administrative des personnels mais uniquement pour les traitements permettant :
- la réalisation d'états statistiques ou de listes d'employés pour répondre à des besoins de gestion administrative ;
- la gestion des annuaires internes et des organigrammes ;
- la mise à disposition des personnels d'outils informatiques :
- suivi et maintenance du parc informatique ;
- gestion des annuaires informatiques permettant de définir les autorisations d'accès aux applications et aux réseaux ;
- mise en oeuvre de dispositifs destinés à assurer la sécurité et le bon fonctionnement des applications informatiques et des réseaux, à l'exclusion de tout traitement permettant le contrôle individuel de l'activité des employés ;
- gestion de la messagerie électronique professionnelle, à l'exclusion de tout traitement permettant le contrôle individuel de l'activité des employés ;
- réseaux privés virtuels internes à l'organisme permettant la diffusion ou la collecte de données de gestion administrative des personnels (intranet) ;
Pour chacune de ces finalités, les données pouvant être transférées sont celles limitativement prévues par l'article 3 de la présente norme. »Article 8
La présente délibération sera publiée au Journal officiel de la République française.
Fait à Paris, le 17 novembre 2005.
Le président,
A. Türk