Grippe A(H1N1) - La Cnil adopte une dispense de déclaration des plans de continuité d'activité

La Commission nationale de l'informatique et des libertés (Cnil) vient d'adopter une dispense de déclaration qui concerne les traitements de données à caractère personnel nécessaires dans le cadre des plans de continuité d’activité (PCA) relatifs à une pandémie grippale mis en œuvre par des employeurs publics et privés. Ces derniers sont désormais dispensés de toute formalité déclarative préalable dès lors qu'ils répondent expressément aux conditions énumérées dans cette nouvelle dispense. Parmi celles-ci : le traitement des données doit contribuer à l'élaboration d'un PCA en identifiant les personnes susceptibles d'être absentes en raison de leur situation familiale ou de leur mode de déplacement. Il doit permettre de prévenir les salariés des mesures prises. Enfin, le recueil des données doit permettre de réaliser tous les traitements statistiques non nominatifs liés à l'élaboration et à l'activation du plan dans l'établissement concerné. La Cnil prévient que le traitement ne doit pas être utilisé pour la gestion courante du personnel. La dispense énumère les données qui peuvent être enregistrées. Elles sont relatives à l’identité, la situation personnelle, la vie professionnelle, les moyens de déplacement et l’utilisation de matériel informatique des employés et ne peuvent être collectées qu’à titre facultatif, sauf textes législatifs ou réglementaires spécifiques. Elles sont collectées lorsque la France atteint le seuil d’alerte 4 (cas groupés humains) et doivent être supprimées en fin de pandémie (seuil d’alerte 7). Les personnes concernées sont informées de l’existence du traitement informatique et de sa finalité ainsi que des services destinataires des informations et des modalités pratiques d’exercice de leur droit d’accès aux informations les concernant. D'autres conditions ont trait aux destinataires de ces données, au droit d'accès et d'information, à la durée de conservation (les informations devront être supprimées dès que la pandémie aura pris fin, sauf les données non nominatives du PCA relatives à l'identification des activités essentielles au maintien de l'entreprise), à la sécurité.
Si ces conditions ne sont pas remplies, les employeurs publics sont tenus de faire une déclaration auprès de la Cnil, voire de demander une autorisation en cas de collecte de données dites "sensibles" (santé).
Les plans de continuité d’activité sont imposés aux administrations de l’Etat et établissements publics placés sous sa tutelle (circulaire DGT 2009/16 du 03/07/2009) et leur contenu est détaillé par la circulaire ministérielle du 26 août 2009. S’ils ne sont pas obligatoires pour les collectivités locales, ils sont néanmoins fortement recommandés. Ils visent en effet à préciser notamment les mesures à prendre pour faire face aux perturbations qui ne manqueraient pas d'être introduites par la survenue d'une pandémie grippale et pour assurer la continuité du fonctionnement de l'établissement. Les collectivités locales qui ne sont pas encore dotées d'un PCA sont donc invitées à le finaliser rapidement.

Emmanuel Walle, avocat / cabinet Alain Bensoussan