SOCOTEC : WARNING Mrs Botin, Montjotin ! Chartes informatique et téléphonie, vous ne respectez pas la RGPD, connaissez-vous le montant des amendes ?

A la lecture de vos derniers documents, règlement intérieur sur lequel nous reviendrons, la charte informatique, la charte téléphonie, les salariés ont eu l’impression de rentrer dans une nouvelle ère démocratique à la façon Corée du Nord, avec les méthodes de Kim Jong-un.

Nous vous informons donc des éléments ci-dessous, nous saisissons la Direccte pour la rédaction d’une lettre d’observations. Direccte à qui logiquement, vous avez envoyé ces documents pour validation.

A la lecture de vos derniers documents, règlement intérieur sur lequel nous reviendrons, la charte informatique, la charte téléphonie, les salariés ont eu l’impression de rentrer dans une nouvelle ère démocratique à la façon Corée du Nord, avec les méthodes de Kim Jong-un.
Nous vous informons donc des éléments ci-dessous, nous saisissons la Direccte pour la rédaction d’une lettre d’observations. Direccte à qui logiquement, vous avez envoyé ces documents pour validation.

1) – Concernant la charte téléphonie mobile, dans la mesure où ce document est un support d’information individuel de chaque bénéficiaire équipé, Socotec, au titre de la conformité avec le droit de la protection des données (loi informatique & libertés et règlement européen 2016/679 dit RGPD) a l’obligation de faire figurer les informations suivantes :

  • Identité et coordonnées du responsable du traitement des données relatives à la téléphonie mobile
  • Identité et coordonnées du DPO (Data Protection Officer, remplaçant le CIL)
  • Catégories de données personnelles collectées à partir des transmissions par l’opérateur des éléments de consommation et de facturation. Socotec indique qu’il récupère les dates, heures et durées de communications ainsi que les premiers chiffres des n° appelés. Trois questions se posent par rapport aux données collectées et analysées :
    • Est-ce exhaustif ?
    • Qu’en est-il des données de géolocalisation ?
    • Qu’en est-il du volume et de la nature des flux de données ? Y a-t-il des explorations sur les contenus ?
  • Durée de conservation des données de consommation et de facturation (le délai prescrit par la Cnil est d’un an en principe)
  • Destinataires des informations
  • Rappel des droits individuels des salariés : droit d’accès, droit de rectification, etc.

Vos documents doivent donc faire l’objet de modifications, sont non applicables en l’état, néanmoins vous affirmez que ceux-ci sont conformes à la loi. De plus, les questions susvisées, amènent à se poser d’autres questions pour les salariés sur l’utilisation de ces outils, les téléphone PDA, la planification, les mails, Google chrome, le soir et le weekend en dehors des heures légales de travail ou dans l’amplitude horaire, à quelles données accédez-vous ? Pourquoi faire ? Ces chartes doivent être proportionnelles aux buts recherchés. Quel est le but, les buts proportionnels à atteindre ? Quelles données éventuelles de géolocalisation ? Qui accède à ces informations ? Qui est le DPO à SOCOTEC ? Avez-vous informé le DPO sur ses responsabilités pénales* ? Qui est le RSSI, connait-il ses responsabilités ?…
Dans un sens global, vos documents ne font pas mentions de ces informations obligatoires.

2) – Concernant la charte informatique du Groupe Socotec, on peut s’étonner que l’entreprise se réclame de sa volonté de conformité avec les « préconisations » (sic) de la Cnil et les obligations du RGPD, alors que le texte n’y fait quasiment aucune référence et ne met en évidence aucune des obligations qui incombent à l’employeur, et notamment la nécessité de fournir aux salariés les informations suivantes :

  • Identité et coordonnées du responsable du traitement des données relatives à la téléphonie mobile
  • Identité et coordonnées du DPO (Data Protection Officer, remplaçant le CIL)
  • Données personnelles collectées : nature des traces collectées à travers l’utilisation des PC et tablettes, niveau de détail, méthodes et outils utilisés dans le cadre de la surveillance et des investigations
  • Destinataires des données
  • Durées de conservation : elles ne sont pas précisées ; à noter, par exemple, que les logs contenus dans les journaux d’accès peuvent être en principe conservés pendant une durée n’excédant pas 6 mois
  • Règles d’intervention et de préservation de la confidentialité des données personnelles applicables aux administrateurs système ou réseau ainsi qu’aux sous-traitants extérieurs
  • Dispositif de notification aux salariés en cas d’accès abusif ou de viol de leurs données personnelles
  • Rappel des droits individuels des salariés : droit d’accès, droit de rectification, etc.

3) – En outre, toutes les applications permettant de traiter les données personnelles des salariés en réponse aux exigences de sécurité telles que décrites dans les deux chartes :

  • doivent être répertoriées et décrites dans un registre des traitements (en lieu et place des déclarations Cnil qui sont supprimées) placé sous la responsabilité du DPO. Ce registre est susceptible de devoir être produit dans le cadre d’une mission de contrôle de la Cnil ; de même, il doit pouvoir être accessible aux représentants du personnel qui en font la demande (les RSS des Filiales dans l’attente des élections) ;
  • doivent faire l’objet d’une information consultation du CSE, lorsque celui-ci sera constitué, en application des articles L.2312-37 & L. 2312-38 du Code du travail.

« la belle endormie » n’a jamais mis en place de tels règlements et méthodes dignes de l’avant-guerre, de l’ère glaciaire des dinosaures… sans instances représentatives ni délégués du personnel à ce jour, donc, sans information consultation comme l’impose le code du travail. La Corée du Nord »