webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Du nouveau dans les dispositifs d'alerte professionnelle !

Délibération n°2017-191 du 22 juin 2017 portant modification de la délibération n°2005-305 du 8 décembre 2005

La CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle.

La loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Loi Sapin II » a rendu obligatoire pour certains organismes la mise en place de dispositifs d’alertes professionnelles.

Dans ce contexte, la CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004).

Retour sur les nouvelles modifications apportées !


1. Un champ d’application plus large

L’ancienne version de l’AU-004 encadrait très strictement la mise en place des dispositifs d’alertes qui ne pouvaient s’inscrire que dans le cadre d’une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption.

Désormais, l’AU-004 couvre l’ensemble des dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi, à savoir :

(i) un crime ou un délit ;

(ii) une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;

(iii) une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;

(iv) une violation grave et manifeste de la loi ou du règlement ;

(v) une menace ou un préjudice graves pour l’intérêt général, dont l’émetteur de l’alerte a eu personnellement connaissance. 

(vi) les signalements émanant du personnel et relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;

(vii) les signalements émanant d’employés, relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

La CNIL précise néanmoins que l’alerte ne peut porter sur des éléments couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client.

Une telle alerte peut tout de même être mise en œuvre sous réserve d’une demande d’autorisation spécifique adressée à la CNIL.


2. La qualité du lanceur d’alerte

L’ancienne AU-004 prévoyait que seuls les employés de l’organisme pouvaient émettre une alerte.

Désormais, une alerte professionnelle peut être émise par un membre du personnel de l’organisme ou un collaborateur extérieur et occasionnel.

S’agissant du traitement de ses données d’identité, la CNIL rappelle la nécessité d’identifier les personnes auteurs d’un signalement, l’organisme ne devant pas inciter à l’émission d’alertes de façon anonyme.

Le nouveau texte de l’AU-004 précise que les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.

Ceux de nature à identifier la personne mise en cause par le signalement ne peuvent quant à eux être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.


3. L’information des personnes concernées

Compte tenu du fait que le lanceur d’alerte n’est pas forcément un membre du personnel de l’organisme, la CNIL rappelle que l’information doit être délivrée à l’ensemble des utilisateurs potentiels du dispositif, c'est-à-dire aux membres du personnel mais également aux collaborateurs extérieurs et occasionnels.

Afin d’être conforme aux dispositions de l’article 8 de la loi Sapin II, outre les mentions d’information habituelles, l’information des personnes concernées doit également préciser les étapes de la procédure de recueil des signalements et notamment les destinataires et les conditions auxquelles l’alerte peut leur être adressée.

A noter que la modification de l’AU-004 ne requiert pas de démarches nouvelles pour les organismes ayant déclaré leur dispositif en référence à l’ancienne délibération.

Ainsi, les responsables ayant déclaré leurs dispositifs avant la modification de la délibération doivent simplement veiller à ce que ces derniers soient mis en œuvre conformément au texte de la nouvelle délibération.

Rappelons que cette autorisation unique ne vise pas uniquement les organismes ayant l’obligation de déployer des dispositifs d’alerte, les organismes souhaitant volontairement les mettre en œuvre pouvant également en bénéficier.

VOIR AUSSI

Sanction de 1,75 millions d’euros pour manquements aux obligations relatives aux durées de conservation et à l’information des personnes

Délibération de la formation restreinte n°SAN-2021-010 du 20 juillet 2021 concernant la société SGAM AG2R LA MONDIALE

- Vu : 266

Dans une délibération du 20 juillet 2021, la société AG2R LA MONDIALE a été condamnée à une amende de 1,75 millions d’euros pour avoir manqué à ses obligations en matière de durée de conservation et d’informations des personnes.

> Lire la suite

Quand les hackers visent les experts en cybersécurité

Threat Analysis Group, 25 janvier 2021

- Vu : 1541

L’importance de mettre en place des procédures de gestion de crise en cas de cyberattaque est parfois sous-estimée par les entreprises. Pourtant, une telle précaution est primordiale vu le nombre de cyberattaques qui touchent même ces derniers temps les professionnels de la cybersécurité. C’est en effet ce qu’il ressort du rapport de l’équipe de travail de cybersécurité de Google, le Threat Analysis Group, qui explique qu’un groupe de hackers nord-coréens cible depuis plusieurs mois des chercheurs en cybersécurité. Plusieurs attaques ont d’ailleurs réussi et des recherches sur les vulnérabilités de ces spécialistes sont maintenant entre les mains de ces hackers. La cybersécurité est donc plus que jamais un enjeu à ne pas négliger.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 8764
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 7796
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
Action en contrefaçon de droit d’auteur et preuve de la qualité d’auteur
16 novembre 2018 - Vu : 6261
La recevabilité de l’action en contrefaçon de droit d’auteur est subordonnée à la preuve de la qualité d’auteur ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 5764
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©