Alertes professionnelles : nouveau champ d’application de l’AU-004

Alertes professionnelles – La Cnil vient de modifier son autorisation unique  relative aux dispositifs d’alertes professionnelles. Egalement désignés sous le terme de dispositifs de « whistleblowing », ce sont des dispositifs mis à la disposition des employés d’un organisme public ou privé pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme,

à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné.

Ces dispositifs prennent généralement la forme de traitements de données à caractère personnel, et sont donc soumis aux dispositions applicables en matière de protection des données à caractère personnel. En outre, ces traitements, en ce qu’ils sont susceptibles d’exclure une personne d’un droit, d’un contrat ou d’une prestation (par exemple, contrat de travail), sont soumis à un régime d’autorisation préalable de la Cnil pour pouvoir être mis en œuvre.

Dans la mesure où ces dispositifs sont imposés par certains textes, la Cnil a élaboré, dès 2005, une autorisation unique pour ce type de traitements à l’attention des organismes publics ou privés mettant en œuvre un tel dispositif d’alertes professionnelles et répondant à une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de lutte contre la corruption.

Cette autorisation visait notamment à encadrer les traitements d’alertes professionnelles mis en œuvre par les entreprises françaises soumises la section 301 de la loi américaine dite « Sarbanes-Oxley » du 31 juillet 2002.

Elle a ensuite été modifiée en 2010 pour inclure dans son champ d’application les dispositifs d’alertes professionnelles visant à lutter contre les pratiques anticoncurrentielles, ainsi que ceux fondés sur la loi japonaise « Financial Instrument and exchange Act » du 6 juin 2006 dite « Japanese SOX ».

Cette autorisation unique vient à nouveau d’être modifiée afin de tenir compte des pratiques des entreprises visant à utiliser les dispositifs d’alertes professionnelles dans des domaines de plus en plus étendus (Délib. 2014-042 du 30-1-2014). L’autorisation unique est donc désormais applicable aux domaines suivants :

• la lutte contre les discriminations et le harcèlement au travail ;
• la santé, l’hygiène et la sécurité au travail ;
• la protection de l’environnement.

Par ailleurs, cette nouvelle autorisation unique ne vise plus uniquement les dispositifs d’alertes professionnelles mis en œuvre pour répondre à une obligation légale mais également ceux déployés pour répondre à un intérêt légitime.

En outre, si la Cnil a toujours précisé de manière expresse que les organismes ne devaient pas inciter les alertes anonymes, elle vient par cette nouvelle délibération ajouter une condition à la prise en compte de telles alertes. En effet, outre le fait que le traitement des alertes anonymes doit s’entourer de précautions particulières, telles qu’un examen préalable par son premier destinataire de l’opportunité de sa diffusion dans le cadre du dispositif, la Cnil ajoute dans sa dernière délibération qu’une telle alerte ne peut être traitée qu’à condition que la gravité des faits soit établie et que les éléments factuels soient suffisamment détaillées.

Les autres dispositions de cette autorisation unique, notamment s’agissant des données pouvant être traitées, des destinataires des données ou encore des durées de conservation mais également de l’information des personnes concernées (à savoir information des utilisateurs du dispositif mais aussi des personnes faisant l’objet d’une alerte professionnelle), demeurent inchangées.

En tout état de cause, cette nouvelle autorisation « alertes professionnelles » doit être l’occasion pour les organismes mettant en œuvre ce type de dispositifs d’effectuer un audit de leurs pratiques en la matière afin de vérifier s’ils se conforment à cette autorisation unique. Dans l’affirmative, il conviendra de s’assurer qu’un engagement de conformité à l’AU-004 a bien été effectué et de régulariser la situation si tel n’est pas le cas. A défaut d’une stricte conformité avec cette autorisation unique, une demande d’autorisation normale devra être effectuée auprès de la Cnil, étant rappelé que le manquement à l’obligation d’effectuer des formalités adéquates auprès de la Cnil préalablement à la mise en œuvre d’un traitement est pénalement sanctionné.

Céline Avignon
Alain Bensoussan Avocats
Lexing Droit Informatique et libertés