Sapin II – La CNIL se prononce sur le dispositif d'alerte professionnelle

La Délibération n° 2017-191 du 22 juin 2017 portant modification de la Délibération n° 2005-305 du 08 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004) a été publiée le 25 juillet 2017.

Par conséquent, tout organisme privé de plus de cinquante salariés et certains organismes publics doivent mettre en place un dispositif d’alerte professionnelle d’ici le 1er janvier 2018.

Dans le cadre de la loi dite « Sapin II » (loi n° 2016-1691 du 09 décembre 2016) qui impose notamment la mise en place de dispositifs d’alerte professionnelle, des difficultés de mise en œuvre sont apparues. En effet, l’Autorisation Unique de la Commission nationale de l’Informatique et des Libertés (« CNIL ») ne concordait pas avec les nouvelles exigences, notamment car son article 1 portant sur les finalités était trop restrictif. La modification de l’Autorisation Unique procède donc à une mise en conformité bienvenue.

Par cette délibération, la CNIL autorise les organismes publics et privés à mettre en place un dispositif d’alerte professionnelle tel que requis par la loi « Sapin II » dès lors que le traitement respecte les termes de la Délibération modifiée. Le responsable de traitement aura ensuite à faire une déclaration comportant un engagement de conformité, en ligne sur le site de la CNIL. Dès réception (sous 24-48 heures en général) d’un accusé de réception, le traitement peut être mis en œuvre.

Les principales modifications portent sur les finalités du traitement, la possibilité de divulguer des informations aux autorités judiciaires, et le recours au Privacy Shield en cas de transfert de données hors de l’Union européenne.

Champ de l’alerte

Sans surprise, la délibération couvre désormais le champ très large des alertes autorisées par la loi Sapin II, c’est-à-dire toute alerte concernant « un crime ou un délit, une violation grave et manifeste d'un engagement international régulièrement ratifié ou approuvé par la France, d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l'intérêt général, dont elle a eu personnellement connaissance ».

Ce dispositif couvre également les autres types d’alertes prévues par la loi Sapin II, et émises dans le cadre des articles 16 (alerte relative à un règlement surveillé par l’AMF) et 17 (dispositif d’alerte prévu au plan de prévention de la corruption, relatives à des faits de corruption ou de trafic d’influence).

Il convient en outre de souligner que l’alerte ne peut pas porter sur des éléments couverts par le secret des relations entre un avocat et son client (Article 1).

Traitement de l’identité de l’émetteur de l’alerte

Les dispositions concernant les plaintes anonymes restent inchangées, prévoyant que « l'organisme ne doit pas inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme ».De fait, comme la loi et le décret visent à assurer un suivi de l’alerte auprès de l’émetteur de l’alerte, il semble préférable qu’il soit identifié.

La CNIL précise les conditions restrictives et cumulatives dans lesquelles une alerte anonyme peut être traitée : uniquement si celle-ci s’avère grave, les faits sont suffisamment détaillés, et l’alerte nécessite un traitement particulier (notamment un examen préalable par le récepteur de l’alerte). Par conséquent, une alerte qui serait anonyme, sans réel impact, et insuffisamment détaillée ne pourrait pas être traitée dans le cadre d’un dispositif d’alerte.

La confidentialité de l’identité de l’émetteur de l’alerte doit de toute façon être assurée tout au long du traitement de l’alerte. Elle peut être uniquement divulguée à l’autorité judiciaire, et avec le consentement de la personne.
L’identité d’une personne faisant l’objet de l’alerte ne peut être divulguée sauf à l’autorité judiciaire et une fois établi le caractère fondé de l’alerte.

Traitement des données

Dans le prolongement de législation française, la CNIL circonscrit les données pouvant être traitées aux données formulées de manière objective et nécessaires au traitement de l’alerte.

Par conséquent, aucune donnée subjective ou éloignée de l’objet de l’alerte ne peut être traitée, par exemple les données à caractère injurieux.

De même, les investigations excédant le champ de l’alerte sont exclues. Il est donc impossible au destinataire de l’alerte d’étendre le champ de l’alerte effectivement reçue pour enquêter sur des faits similaires ou liés mais non concernés par l’alerte.

Destinataire des données

La CNIL précise que le supérieur hiérarchique direct ou indirect, l'employeur ou le référent désigné par lui ne sont destinataires que des données nécessaires à l'accomplissement de leurs missions.

Dans un groupe de sociétés, les destinataires de l’alerte ne transmettent ces données aux personnes éventuellement désignées pour gérer les alertes professionnelles que si la transmission est nécessaire pour vérifier ou traiter l’alerte. Par conséquent, la CNIL rend le recours aux personnes en charge du traitement de l’alerte facultatif, et l’alerte semble devoir être traitée de manière privilégiée par son destinataire initial.

Les obligations pesant sur les équipes « compliance » ou juridique, ou les prestataires externes, sont précisées. En effet, qu’elles soient internes ou externes, elles doivent être en nombre limité, spécialement formées et astreintes à une obligation renforcée de confidentialité contractuellement définie.

Transferts de données à caractère personnel hors de l'Union européenne

La CNIL spécifie les conditions de traitement des données si la société au sein de laquelle l’alerte est émise (société mère ou filiale) ou si la société qui traite l’alerte (tiers prestataire) est établie hors de l’Union européenne :

  • si la personne morale au sein de laquelle travaille le destinataire des données a adhéré au Privacy Shield, dans la mesure où la société américaine concernée a expressément fait le choix d'inclure les données de ressources humaines dans le champ de cette adhésion ; ou
  • si le destinataire de l’alerte a conclu un contrat de transfert basé sur les clauses contractuelles types émises par la Commission européenne ; ou
  • si le destinataire de l’alerte a adopté des règles internes dont la CNIL a préalablement reconnu qu'elles garantissent un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.

Par conséquent, les tiers proposant des services de traitement de l’alerte externalisés devront se conformer à ces dispositions, et les sociétés mères pourront mettre en œuvre ces exigences afin de traiter des alertes émises par des filiales à l’étranger vers la France, ou émises par la France vers une maison mère domiciliée à l’étranger.

Information des utilisateurs potentiels et des personnes faisant l’objet du dispositif

La CNIL prévoit l’information collective et individuelle des salariés de la société, ainsi que l’information des utilisateurs potentiels du dispositif, auxquels le fonctionnement du dispositif d’alerte doit être expliqué (article 8).

L’information précise également les étapes de la procédure de recueil des signalements et notamment les destinataires et les conditions auxquelles l’alerte peut être adressée, conformément aux dispositions de l’article 8 de la loi « Sapin II ».

Cette information peut intervenir a posteriori pour une personne faisant l’objet de l’alerte qui n’aurait pas eu connaissance du dispositif auparavant (article 9).

En outre, dans la mesure où ils permettent le contrôle de l’activité des salariés, les dispositifs d’alerte doivent donner lieu à l’information et la consultation préalable du comité d’entreprise conformément à l’alinéa 3 de l’article L.2626-47 du Code du travail.

Autres dispositions

La CNIL rappelle les durées de conservation des données relatives à l’alerte, conformes à la loi Sapin II et au décret, et identiques aux précédentes délibérations de la CNIL (article 6).

Elle rappelle également les mesures de sécurité prévues par les dispositions légales (article 7).

Ce document (ainsi que toutes les informations accessibles via les liens présents dans ce document) est fourni uniquement à titre informatif et ne constitue en aucun cas un conseil juridique. Des conseils juridiques professionnels sont nécessaires avant une quelque action résultant du contenu de ce document.