webleads-tracker

MENU
Nos expertises Présentation du cabinet Présentation Notre approche Nos départements Nos avocats Nos distinctions Nous contacter Equipe numerique Agenda / évènements Nos événements Autres événements Lexique Newsletters Rechercher Nos sites internet Data / Données personnelles Propriété intellectuelle Services numériques E-commerce Contenus illicites / E-réputation International Startup et Legaltechs / Tendances Partenaires Medias Contact Newsletter
SUIVEZ NOUS SUR
la lettre du numérique
L'actualité juridique et économique des acteurs du numérique par Simon Associés
simon associés simon associés
Accueil >Data / Données personnelles
 

Dispositifs d’alertes professionnelles : la CNIL publie un référentiel dédié

Délibération n°2019-139 du 18 juillet 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles

La CNIL publie un référentiel dédié aux dispositifs d’alertes professionnelles ayant pour objet de se substituer à l’autorisation unique AU-004 dénuée de force juridique depuis l’entrée en application du Règlement européen sur la protection des données.



Dans la continuité de sa délibération en date du 18 juillet 2019, l’autorité de contrôle française a publié un référentiel dédié à la mise en œuvre de dispositifs de recueil et de gestion des alertes professionnelles qui nécessitent un traitement de données à caractère personnel.

Ce référentiel s’adresse aux organismes privés et publics qui choisissent ou sont tenus de mettre en place de tels dispositifs. Il a vocation à permettre aux diverses entités d’assurer la conformité des traitements opérés dans ce cadre au Règlement européen sur la protection des données (« RGPD ») et à la loi Informatique et libertés modifiée.

En effet, depuis l’entrée en vigueur du RGPD, les autorisations uniques adoptées par la CNIL n’ont plus de valeur juridique. Tel est le cas de l’autorisation unique AU-004 ayant pour objet les traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alertes professionnelles.

Ces mécanismes de whistleblowing ont pour dessein de permettre le signalement à un organisme de telles situations pouvant affecter l’activité d’une entreprise ou engager sa responsabilité.

Ils répondent notamment à :

  • la loi n°2016-1671 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Loi Sapin 2 » ou encore ;
  • la loi n°2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre.

Rappelons en premier lieu que constitue une alerte professionnelle « tout signalement effectué de bonne foi et qui révèle ou signale une infraction pénale, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général ».

Sont exclus les faits couverts par le secret de la défense nationale, par le secret médical ou par le secret des relations entre un avocat et son client.

En outre, la CNIL étend le référentiel aux dispositifs d’alertes éthiques relatifs aux violations de règles codifiées dans des documents écrits tels qu’un règlement intérieur ou une charte éthique.

Le référentiel constitue une aide utile à l’élaboration d’une analyse d’impact, dont la réalisation préalable est obligatoire.  Rappelons que la CNIL a publié en ce sens, dans une délibération n°2018-327 du 11 octobre 2018, la liste des types d’opérations de traitement de données à caractère personnel pour lesquelles une analyse d’impact est requise. 

La publication de ce texte offre également un éclairage sur les catégories de données à caractère personnel impactées par un tel dispositif. Il est en effet utile de rappeler que chaque traitement de données à caractère personnel doit répondre au respect des principes de minimisation et de pertinence des données.

En outre, l’autorité de contrôle met exergue le devoir d’information générale des personnes et notamment l’existence d’informations spécifiques à délivrer au lanceur de l’alerte ou encore à la personne visée par l’alerte.

Enfin, le référentiel dresse une liste utile de mesures de sécurité techniques et organisationnelles, par catégorie, devant être déployées par le responsable de traitement. 

A rapprocher : Délibération n°2019-139 du 18 juillet 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles

VOIR AUSSI

La CNIL cible les compteurs communicants Linky et met en demeure les sociétés EDF et ENGIE

Délibération n°2019-035 du 31 décembre 2019 mettant en demeure la société ÉLECTRICITÉ DE FRANCE (EDF) ; Délibération n°2019-036 du 31 décembre 2019 mettant en demeure la société ENGIE

- Vu : 1294

Les mises en demeure de la CNIL concernant les compteurs communicants Linky constituent un opportun rappel aux règles entourant le consentement comme base légale d’un traitement de données à caractère personnel mais également un rappel à la nécessité de déterminer des durées de conservation des données proportionnées aux finalités poursuivies.

> Lire la suite

Loi informatique et libertés III : articulation avec le RGPD

Modification de la Loi informatique et Libertés n°78-17 du 6 janvier 1978

- Vu : 6232

La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des données du 27 avril 2016, vient désormais modifier la Loi informatique et Libertés n°78-17 du 6 janvier 1978.

> Lire la suite


Les plus vus...
Loi informatique et libertés III : articulation avec le RGPD
6 juillet 2018 - Vu : 6232
La loi du 20 juin 2018 n°2018-493, prise en application du Règlement (UE) 2016/679 sur la Protection des ...
> Lire la suite
Phishing : le seul fait de répondre à un email d’hameçonnage constituerait-il une négligence grave ?
16 novembre 2018 - Vu : 5464
La Cour de cassation, dans cet arrêt du 3 octobre 2018, a censuré les juges du fond qui ...
> Lire la suite
La mise en conformité avec le RGPD des PME
22 mai 2018 - Vu : 4546
Consciente des difficultés que peuvent rencontrer les entreprises dans leurs démarches, la CNIL a édité une méthodologie présentée ...
> Lire la suite
Victime d’hameçonnage : la Cour de cassation impose à l’utilisateur une vigilance de plus en plus accrue
22 mai 2018 - Vu : 3421
La Cour de cassation renforce à nouveau l’obligation de prudence pesant sur l’internaute victime d’hameçonnage, dans la droite ...
> Lire la suite
Copyright ©2017 La lettre du Numérique | Création et réalisation Webcd©