Du nouveau dans les dispositifs d’alerte professionnelle !

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Counsel

Délibération n°2017-191 du 22 juin 2017 portant modification de la délibération n°2005-305 du 8 décembre 2005

La CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle.

La loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Loi Sapin II » a rendu obligatoire pour certains organismes la mise en place de dispositifs d’alertes professionnelles.

Dans ce contexte, la CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004).

Retour sur les nouvelles modifications apportées !


1. Un champ d’application plus large

L’ancienne version de l’AU-004 encadrait très strictement la mise en place des dispositifs d’alertes qui ne pouvaient s’inscrire que dans le cadre d’une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption.

Désormais, l’AU-004 couvre l’ensemble des dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi, à savoir :

(i) un crime ou un délit ;

(ii) une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;

(iii) une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;

(iv) une violation grave et manifeste de la loi ou du règlement ;

(v) une menace ou un préjudice graves pour l’intérêt général, dont l’émetteur de l’alerte a eu personnellement connaissance. 

(vi) les signalements émanant du personnel et relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;

(vii) les signalements émanant d’employés, relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

La CNIL précise néanmoins que l’alerte ne peut porter sur des éléments couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client.

Une telle alerte peut tout de même être mise en œuvre sous réserve d’une demande d’autorisation spécifique adressée à la CNIL.


2. La qualité du lanceur d’alerte

L’ancienne AU-004 prévoyait que seuls les employés de l’organisme pouvaient émettre une alerte.

Désormais, une alerte professionnelle peut être émise par un membre du personnel de l’organisme ou un collaborateur extérieur et occasionnel.

S’agissant du traitement de ses données d’identité, la CNIL rappelle la nécessité d’identifier les personnes auteurs d’un signalement, l’organisme ne devant pas inciter à l’émission d’alertes de façon anonyme.

Le nouveau texte de l’AU-004 précise que les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.

Ceux de nature à identifier la personne mise en cause par le signalement ne peuvent quant à eux être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.


3. L’information des personnes concernées

Compte tenu du fait que le lanceur d’alerte n’est pas forcément un membre du personnel de l’organisme, la CNIL rappelle que l’information doit être délivrée à l’ensemble des utilisateurs potentiels du dispositif, c’est-à-dire aux membres du personnel mais également aux collaborateurs extérieurs et occasionnels.

Afin d’être conforme aux dispositions de l’article 8 de la loi Sapin II, outre les mentions d’information habituelles, l’information des personnes concernées doit également préciser les étapes de la procédure de recueil des signalements et notamment les destinataires et les conditions auxquelles l’alerte peut leur être adressée.

A noter que la modification de l’AU-004 ne requiert pas de démarches nouvelles pour les organismes ayant déclaré leur dispositif en référence à l’ancienne délibération.

Ainsi, les responsables ayant déclaré leurs dispositifs avant la modification de la délibération doivent simplement veiller à ce que ces derniers soient mis en œuvre conformément au texte de la nouvelle délibération.

Rappelons que cette autorisation unique ne vise pas uniquement les organismes ayant l’obligation de déployer des dispositifs d’alerte, les organismes souhaitant volontairement les mettre en œuvre pouvant également en bénéficier.

Sommaire

Autres articles

some
Le rapport de la CNIL pour l’année 2021 met en lumière la prise de conscience du citoyen dans la protection de leurs données personnelles
42e rapport d’activité de la CNIL (année 2021) « Protéger les données personnelles, Accompagner l’innovation, Préserver les libertés individuelles » Madame Marie-Laure Denis, présidente de la CNIL affirmait que « plus que jamais, c’est le respect d’un équilibre entre accompagnement…
some
Sanction de 1.5 million d’euros pour un éditeur-intégrateur de progiciel à destination des laboratoires d’analyse médicale
Délibération de la CNIL du 15 avril 2022 Article rédigé par Eve-Anne Dujardin et Valentine Quiniou.
some
Du Big Data à la Smart Data : les 3 clefs d’évaluation pour que les données rentrent dans les actifs des entreprises
Qu’il s’agisse de données à caractère personnel, y compris des données ouvertes, voire les données industrielles leur valorisation devient un enjeu économique. Ainsi, tout jeux de données recèle une valeur, à condition qu’il soit composé de données qualifiées. Après l’époque…
some
L’autorité de protection des données irlandaise, cible de nombreuses controverses
Irish Council for Civil Libertie’s 2021 report on the enforcement capacity of data protection authorities Plusieurs organisations font état de défaillances de la Data Protection Commission (DPC), l’autorité de protection des données irlandaise, et estiment que cette dernière freine la…
some
La valorisation de la donnée restera-t-elle l’apanage des G.A.F.A.M. ?
Journal du Management Juridique n°84 L’explosion du volume des données informatiques, du fait du développement de l’Internet et des nouvelles technologies de l’information, a ouvert de nouveaux horizons aux entreprises. Certaines utilisent déjà une partie de ces données pour prédire…
some
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque
« AlerteCyber » : mise en place d’un dispositif d’alerte destiné aux petites entreprises en cas de cyberattaque Communiqué de presse du Gouvernement, 20 juillet 2021 Le contexte de crise sanitaire a largement contribué à la multiplication d’attaques informatiques visant…