Intervention de Hélène Legras

Je vous remercie de m'accueillir pour parler d'un sujet passionnant et d'un enjeu important, y compris au sein de l'entreprise. Le statut de salarié ne donne pas à l'employeur le droit de faire n'importe quoi avec les données personnelles de ses employés. M. Alex Türk, au moment de la révision de la loi « informatique et libertés », a eu l'idée de créer les CIL, les correspondants « informatique et libertés », qui représentent en quelque sorte la CNIL au sein des entreprises. Ils sont chargés de veiller à ce qu'elles soient en conformité avec la législation. La loi « informatique et libertés » m'apparaît comme le prolongement de la Déclaration des droits de l'homme et du citoyen.

Être le correspondant unique dans un groupe comme Areva, qui compte, dans le monde entier, 280 sociétés et 48 000 salariés, fait de moi une sorte d'entonnoir par lequel passent toutes les demandes. Si un opérationnel décide de constituer une base automatisée, il viendra me demander si les données qu'il collecte sont personnelles ou non ; si leur traitement est automatisé, la loi « informatique et libertés » s'appliquera et la base devra faire l'objet d'une déclaration dans mon registre CIL.

Les instances représentatives du personnel (IRP) et les syndicats aussi se posent des questions. Eh bien, ils s'adressent à moi parce que le groupe a organisé une communication autour de ma nomination ainsi que sur mes missions. Juriste ou informaticien, le CIL doit connaître son entreprise et se faire connaître d'elle. Protéger les données personnelles constitue un sacerdoce.

J'ai beaucoup aimé, monsieur Le Déaut, que vous parliez d'« hygiène » à propos de l'utilisation des réseaux – plutôt que de « gouvernance » ou de « conformité » –, dans la mesure où il s'agit de ne pas faire n'importe quoi avec les données personnelles des salariés.

Au sein du groupe Areva, lors des formations que je fais, je recommande aux opérationnels de ne pas collecter de données sensibles – ethniques, raciales, voire philosophiques. Un service de ressources humaines peut être enclin de consigner le motif pour lequel telle ou telle personne n'a pas été embauchée. Si elle n'avait pas le profil ou les compétences, soit, mais on ne peut pas, dans les commentaires, mentionner sa tenue vestimentaire ou une information qui serait discriminatoire. Il est important que le CIL mette en garde les opérationnels contre les risques.

Sur le site intranet de la direction juridique, j'ai mis en ligne de nombreuses fiches sur le CIL, la CNIL, les données sensibles ou personnelles, dans lesquelles je donne de nombreux conseils.

Il faut aussi animer un réseau. Le CIL d'un groupe de 48 000 personnes ne peut pas tout savoir, mais il doit disposer d'une cartographie, devenue obligatoire depuis la loi « informatique et libertés ». Je tiens donc un registre de toutes les bases du groupe Areva et je sais où elles sont. Comme l'a fort bien dit Chloé Torrès, l'éparpillement provoqué par le cloud computing peut être dangereux pour la sécurité et la confidentialité. D'ailleurs, le fameux règlement communautaire dont on a déjà beaucoup parlé introduit la notification des failles de sécurité. Je travaille main dans la main avec le Responsable de la Sécurité des Systèmes d'Information parce qu'il est le premier à connaître ces éventuelles failles. C'est lui qui me dira si le hacker a pu avoir accès aux données personnelles des salariés. De même, j'informe de mes missions. Très longtemps, les IRP se sont demandé pourquoi nous ne faisions plus de déclaration à la CNIL. Je suis donc venue au comité d'entreprise parler de ma fonction. J'ai expliqué que je travaillais étroitement avec la CNIL, que je veillais à la protection des données personnelles et qu'elles ne soient pas conservées indéfiniment.

Ainsi, si l'on fait par exemple une enquête de satisfaction, je m'assure que les données collectées à cette occasion sont détruites dès qu'elle est terminée. Quand nous faisons appel à un sous-traitant, je lui fais signer à ce dernier un accord de confidentialité dans lequel il s'engage à détruire les données personnelles collectées une fois son enquête achevée et à restreindre l'accès à ces données aux besoins et personnes en charge de l'enquête.

Je veille aussi à faire respecter le droit des personnes. J'informe les salariés qu'on collecte leurs données en vue d'un traitement informatique, et leur indique l'usage qu'il en sera fait. De même, je veille au respect de leur droit d'accès, de leur droit à modification, voire à suppression, s'exerce. Un salarié qui a quitté le groupe Areva a le droit de vérifier que celles qui le concernent ont été supprimées. Je m'assure enfin que les données sont bien « adéquates », c'est-à-dire pertinentes et légitimes. Par exemple, l'article 9 du code civil accorde le droit à l'image à chaque individu. La photo est aussi une donnée personnelle et la loi « informatique et libertés » s'applique. Pour l'annuaire intranet d'Areva, les salariés se voient demander s'ils acceptent que leur photo y figure. Au moment de leur embauche, ils signent une autorisation, sur laquelle ils peuvent revenir quand ils le souhaitent.

Le règlement communautaire va consacrer le droit à l'oubli. Techniquement, il sera très difficile à mettre en oeuvre mais il est indispensable.