Verrou Identification membre

L'identification membre vous donne accès à l'intégralité du site de l'Amue.


CNIL - Siham

Contenu

Formalité déclarative

La formalité à effectuer pour les traitements que permet d’effectuer le logiciel SIHAM consiste, pour les établissements disposant d'un CIL, à

et à l'insérer dans le registre officiel des traitements.

Les établissements n'ayant pas désigné de CIL doivent :

  • soit effectuer directement auprès de la CNIL une déclaration normale en se basant sur les informations figurant sur la Fiche fournie par l'Amue ;
  • soit faire une déclaration de conformité à la norme simplifiée NS-46 (si cela n'a pas été déjà fait par ailleurs) au moyen par exemple d'un formulaire de déclaration simplifiée à renseigner en ligne

https://www.declaration.cnil.fr/declarations/declaration/accueil.action

(choisir « Procédure simplifiée - finalité NS-46 »), puis effectuer une déclaration normale complémentaire portant sur les différences relevées par la CNIL entre les traitements à déclarés et la norme NS-46 ou la dispense n° 1.

 

Régime juridique applicable

La formalité déclarative à effectuer pour SIHAM découle des articles 23 et 24 de la loi du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés ou, pour les établissements ayant désigné un CIL, à celui du II.1° et du III de l’article 22 de cette même loi Informatique et Libertés.

En effet, les finalités et les traitements d’informations personnelles réalisés au moyen du logiciel SIHAM se répartissent en deux groupes.

Le premier porte sur la gestion administrative des personnels, de leur carrière et de leur mobilité ainsi que de leur formation. Il est conforme à la norme simplifiée n°46 (cf. Délibération CNIL n°2005-002 du 13 janvier 2005 portant adoption d'une norme destinée à simplifier l'obligation de déclaration des traitements mis en œuvre par les organismes publics et privés pour la gestion de leurs personnels).

Par conséquent, à moins de bénéficier d’un CIL et des dispositions de l’article 22.III, il convient de formuler pour ce premier groupe de traitements « une déclaration simplifiée de conformité envoyée à la CNIL, le cas échéant par voie électronique » conformément à l’article 24.Ide la loi du 6 janvier 1978 modifiée.

Par ailleurs, pour des finalités complémentaires se confinant, d’une part, au renseignement des arrêtés et de la feuille d’accident du travail ou maladie professionnelle et, d’autre part, à la gestion des comptes information retraite et de la paye, le second groupe de traitements comporte le numéro d'inscription des personnes au répertoire national d'identification des personnes physiques (NIR) des personnels.

Ce groupe de traitements trouve appui sur les dispositions légales de la dispense CNIL n°1 en remplissant les conditions du décret n°91-1404 du 27 décembre 1991 auquel cette dispense renvoie. Notamment, « les états produits et les documents édités ne [portent] mention du numéro de sécurité sociale que si celle-ci est strictement nécessaire et dans la mesure où ces états et ces documents présentent une relation directe avec [la réalisation d'opérations] résultant de dispositions légales ou réglementaires » (cf. Délibération CNIL n°2004-096 du 9 décembre 2004 décidant la dispense de déclaration des traitements de gestion des rémunérations mis en œuvre par l'Etat, les collectivités locales, les établissements publics et les personnes morales de droit privé gérant un service public).

CEPENDANT, en raison de la complexité de cette analyse de régime juridique effectuée le 13 février 2015, une demande de conseil a été adressée à la CNIL afin de l'assoir définitivement. Dans sa réponse en date du 27 mai 2015, la Commission estime que si dans les grandes lignes, le traitement envisagé pourrait s’inscrire dans l’esprit de la dispense 1 et de la NS 46, certaines informations présentes dans la fiche de registre communiquée vont plus loin que celles prévues par ces cadres de référence (quand bien même cette fiche est parfois plus exacte que le cadre de référence qui commence à dater).

Tel est par exemple le cas des données traitées comme par exemple le NUMEN, ou encore des données relatives à « l’identité des ayants droit ou ouvrants droit de l'employé, revenus, avantages et prestations demandés et servis (liés à la situation familiale concernant les enfants et/ou les autres personnes à la charge de l’agent : nom, prénoms ; sexe ; date de naissance ; rang de l’enfant dans la fratrie ; lien de filiation ; taux d’incapacité permanente ou taux d’invalidité ; date du décès, le cas échéant) », alors que la dispense 1 ne vise que « l’identité de l'employé et de ses ayants droit ou ouvrants droit, revenus, avantages et prestations demandés et servis ; »

La CNIL qualifie néanmoins ces différences de tout à fait acceptables dans le cadre d’une fiche de registre (dans la mesure où davantage de souplesse dans sa rédaction permet d'y déclarer ces différences).

PAR CONSEQUENT, il suffit aux établissements disposant d'un CIL de :

et de l'insérer dans leur propre registre de traitements après l'avoir adaptée à leur contexte.

 

Par CONTRE, la CNIL rappelle que les cadres de référence édictés par la Commission sont d’interprétation stricte. En conséquence, il n'est pas possible de bénéficier des formalités simplifiés si le traitement envisagé s’écarte ne serait-ce que sur un point de la délibération (finalité, données traitées, durée de conservation…).

Aussi, selon la CNIL, les autres établissements ne disposant pas d’un CIL ne peuvent pas se contenter d’effectuer un engagement de conformité à la NS46 du fait de cette « rigidité » inhérente aux cadres de référence adoptés par la CNIL. Ils doivent se baser sur les informations détaillées figurant sur la fiche de registre type fournie par l'Amue afin d'effectuer directement auprès de la CNIL une déclaration normale complémentaire portant notamment sur les différences relevées plus haut au niveau du "CEPENDANT".

Il est recommandé dans tous les cas d'utiliser la description de l’ensemble des traitements exécutables par le SIHAM afin d’augmenter leur traçabilité et de mieux faire assurer le suivi et le maintien de la conformité par chaque établissement.

Vous êtes CIL, ou vous faites partie du service juridique de votre établissement. Vous souhaitez échanger avec nous sur le régime juridique applicable ou les formalités ?


Contact + cil(at)amue.fr