La Commission nationale de l'informatique et des libertés,

Vu la directive 95 / 46 / CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et notamment ses considérants n° s 49 à 52 et ses articles 18, 19 et 21 ;

Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 24-II ;

Vu le plan national de prévention et lutte « pandémie grippale » n° 150 / SGDN / PSE / PPS dans sa version du 20 février 2009 ;

Après avoir entendu M. Jean MASSOT, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ;

Formule les observations suivantes :

Le plan national de prévention et de lutte « pandémie grippale » propose une démarche d'anticipation afin d'assurer, en cas de pandémie grippale, le fonctionnement du pays dans des conditions aussi normales que possible. Au niveau économique, la mise en place des plans de continuité d'activité (PCA) vise à organiser la continuité de l'activité au niveau le plus élevé et le plus longtemps possible.
Les PCA sont obligatoires pour les administrations de l'Etat, les établissements publics sous tutelle et sont fortement recommandés pour les collectivités territoriales et leurs établissements publics, les organismes de droit privé en charge de mission de service public et les entreprises.
Le PCA est avant tout le fruit d'une démarche de prévention sanitaire et organisationnelle. Ainsi, du point de l'organisation du travail, le PCA se veut, tout d'abord, un outil d'analyse permettant d'évaluer les activités et les postes indispensables au maintien de l'activité de l'organisme et conduisant dans un second temps à identifier des personnes physiques susceptibles d'assurer ces fonctions. Les informations nominatives collectées pour l'élaboration d'un PCA n'ont en effet d'intérêt que lorsque ce travail de réflexion préalable est achevé et que la situation pandémique se concrétise.
Au regard du fort impératif de santé publique et maintien de l'activité économique, la commission estime qu'il y a lieu de faire application des dispositions de l'article 24 de la loi du 6 janvier 1978 modifiée et de dispenser de toute formalité préalable les traitements répondant aux présentes conditions de la délibération qui ne sont pas susceptibles de porter atteinte à la vie privée et aux libertés,

Décide :

Article 1

Sont dispensés de déclaration les traitements de données à caractère personnel qui répondent aux conditions suivantes.

Article 2

Finalités du traitement.
Le traitement a pour seules fonctions :
a) De contribuer à l'élaboration d'un plan de continuité d'activité (PCA) dans le contexte d'une pandémie grippale en identifiant les personnes susceptibles d'être indisponibles en raison de leur situation familiale ou/et de leur mode de déplacement ;
b) Dans le cadre du suivi du PCA, de prévenir les personnels des mesures prises par l'organisme ;
c) De réaliser tous traitements statistiques non nominatifs liés à l'élaboration et à l'activation du plan dans l'entreprise.
Le traitement ne peut pas être utilisé pour la gestion courante du personnel.

Article 3

Informations traitées.
Les informations traitées ne peuvent être recueillies que de manière facultative, sauf obligations législatives ou réglementaires spécifiques.
Le traitement doit se limiter aux données suivantes :
a) Pour l'identité : nom, nom marital, prénoms, adresse personnelle, coordonnées téléphoniques personnelles, e-mail personnel ;
b) Pour la situation familiale : présence au foyer d'enfants à charge de moins de trois ans, présence au foyer d'enfants à charge scolarisés (école maternelle et école primaire), autres contraintes personnelles pouvant empêcher de se rendre sur son lieu de travail en cas de pandémie (telles que parents à charge) ;
c) Pour la vie professionnelle : lieu de travail, numéro d'identification interne (à l'exclusion du NIR), emploi occupé et coefficient hiérarchique, caractéristiques du poste (tels que contact avec le public, déplacements fréquents) et, à titre indicatif, volontaire pour travailler à distance en cas de pandémie ;
d) Pour les moyens de déplacement des personnes : mode de transport habituel, mode de transport alternatif ;
e) Pour l'utilisation de matériel informatique (si les fonctions l'exigent) : compétences informatiques, équipement informatique personnel, accès à internet à domicile.
Les données collectées dans la catégorie b doivent se limiter à des réponses par oui ou non aux questions posées.

Article 4

Durée de conservation des données.
Les données visées à l'article 3 ne peuvent faire l'objet d'un traitement que lorsque la France atteint le seuil d'alerte de situation 4 (cas groupés humains) conformément aux phases de nomenclature du plan national français.
Dès que la situation épidémiologique de la France se conclut par la situation 7 (la fin de la pandémie), le traitement des données nominatives doit être supprimé.

Article 5

Destinataires des données.
Peuvent seuls, dans la limite de leurs attributions respectives, être destinataires de tout ou partie des informations :
― les personnes habilitées des services chargés de la gestion du personnel ;
― le cas échéant, les personnes habilitées en charge de la cellule de crise mise en place au sein de l'organisme.

Article 6

Information et droit d'accès.
Les salariés concernés par les traitements visés dans la présente délibération sont informés de l'existence du traitement informatique et de sa finalité. Ils doivent également être informés des services destinataires des informations et des modalités pratiques d'exercice de leur droit d'accès aux informations qui les concernent.

Article 7

Sécurités.
Le responsable du traitement est tenu de prendre toutes précautions utiles pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
A cet effet, une politique visant à contrôler les accès au traitement et à sécuriser les communications des données est mise en œuvre.

Article 8

Transmissions de données vers des pays tiers à l'Union européenne.
Ne peuvent prétendre au bénéfice de l'exonération les traitements automatisés comportant la transmission de données à caractère personnel vers des pays tiers à l'Union européenne, y compris lorsque cette transmission est réalisée à des fins de sous-traitance. Ces traitements font l'objet de formalités déclaratives préalables auprès de la CNIL dans les conditions prévues par la loi du 6 janvier 1978 modifiée.

Article 9

Effets de la dispense de déclaration.
Les traitements répondant aux conditions visées aux articles 2 à 8 peuvent être mis en œuvre sans délai et sans déclaration préalable auprès de la CNIL.
La dispense de déclaration n'exonère le responsable de tels traitements d'aucune de ses autres obligations prévues par les textes applicables à la protection des données à caractère personnel.
La commission se réserve le droit de contrôler le respect des dispositions de la présente délibération.

Article 10

La présente délibération sera publiée au Journal officiel de la République française.

Fait à Paris, le 10 septembre 2009.

Source : JORF n° 222 du 25 septembre 2009, texte n° 55.