Dispositif d’ alerte professionnelle et analyse d’impact RGPD

Quelles seront les formalités à respecter pour encadrer un dispositif d’ alerte professionnelle sous l’empire du RGPD ?

Pour la présentation générale de la loi Sapin 2 et la modification de l’AU-004, il est renvoyé à nos précédents articles [1, 2].

Vers une suppression quasi-totale des formalités préalables

La nouvelle réglementation sur la protection des données personnelles (RGPD [3] et le projet de loi Informatique et libertés [4] permettant une application concrète du RGPD en France) tend à supprimer l’obligation de déclarer les traitements auprès de la Cnil ainsi que celle d’obtenir une autorisation préalable de la Cnil.

Quelques exceptions sont néanmoins maintenues, notamment en matière de données de santé ou de traitement nécessitant l’utilisation du NIR en l’état actuel du projet de loi (Art. 9 du RGPD).

Toutefois, le responsable du traitement ayant l’obligation de tenir un registre des activités de traitement, il devra tout d’abord y faire figurer le traitement mis en œuvre à travers le dispositif d’ alerte professionnelle.

Analyse d’impact nécessaire pour la mise en œuvre d’un dispositif d’ alerte professionnelle

Le traitement de gestion des alertes professionnelles, dès lors qu’il répond à plus de deux des neuf critères déterminés par la Cnil [5] et par le G29 [6] est, par principe, soumis à analyse d’impact.

En effet, un traitement mis en œuvre à travers un dispositif d’ alerte professionnelle

• touche nécessairement des personnes vulnérables tels que les salariés ;
• traite de données relatives à des faits susceptibles de qualification pénale,
• peut tendre à l’exclusion d’un droit ou d’un contrat et selon l’étendue du dispositif avoir une portée étendue et à grande échelle.

Ainsi, et sous réserve d’une analyse au cas par cas, un tel traitement est soumis à analyse d’impact.

Qu’en est-il d’un dispositif d’ alerte professionnelle déjà autorisé ?

En pratique, la question de la nécessité de mener une analyse d’impact pour un traitement d’ores et déjà autorisé va se poser. Il convient alors de distinguer selon les cas suivants :

• pour les traitements ayant fait l’objet d’une formalité préalable (engagement de conformité à l’AU-004 ou autorisation spécifique) auprès de la Cnil avant le 25 mai 2018, l’analyse d’impact ne sera pas exigée ;
• une analyse d’impact devra être effectuée si le traitement fait l’objet d’une modification significative (Considérant 171 du RGPD) [5] postérieurement à la réalisation de ces formalités.

A cet égard, le G29 dans ses lignes directrices précise que « tout traitement de données dont les conditions de mise en œuvre (portée, finalités, données à caractère personnel collectées, identité du responsable du traitement ou des destinataires des données, durée de conservation des données, mesures techniques et organisationnelles, etc.) ont changé depuis l’examen préalable effectué par l’autorité de contrôle et sont susceptibles d’engendrer un risque élevé doit faire l’objet d’une analyse d’impact ».

Quels sont les risques en l’absence d’analyse d’impact ?

Il est rappelé qu’en cas de non-respect des dispositions relatives aux analyses d’impact, le montant des amendes peut s’élever jusqu’à 10 000 000 d’euros, ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant plus élevé étant retenu (Art. 83 du RGPD).

Quelles sont nos recommandations ?

En prévision de l’entrée en application du RGPD, il est recommandé de procéder à une vérification des formalités encadrant le dispositif d’ alerte professionnelle et, en cas de nouveau dispositif, de réaliser autant que faire se peut un engagement de conformité à l’AU-004 avant l’entrée en application du RGPD (sous réserve de respecter l’intégralité des exigences posées par la délibération de la Cnil).

Lexing Alain Bensoussan Avocats
Lexing département Contentieux numérique

[1] Loi Sapin 2 : un socle commun pour les lanceurs d’alerte, post du 27-6-2017.
[2] L’AU-004 « Dispositifs d’alerte professionnelle » est modifiée, post du 4-10-2017.
[3] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou « RGPD » ).
[4] Projet de loi relatif à la protection des données personnelles, Doc. Ass. nat. n° 490 du 13-12-2017.
[5] Cnil, « Ce qu’il faut savoir sur l’analyse d’impact relative à la protection des données (DPIA) » , 18-10-2017.
[6] G29, « Lignes directrices concernant l’analyse d’impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est susceptible d’engendrer un risque élevé aux fins du règlement (UE) 2016/679 » , version du 4-10-2017.