La compatibilité des dispositifs d’alerte professionnelle créés par la loi Sapin 2 à l’AU-004 faisait débat. La Cnil a donc pris position et modifié cette autorisation unique (1) afin de prendre en compte les nouvelles exigences de la loi Sapin 2 (2).
Pour rappel, la loi Sapin 2 a créé deux dispositifs distincts, l’un instaurant un socle commun à tous les dispositifs d’alerte professionnelle, l’autre spécifique à la lutte anticorruption prévu par l’article 17 de ladite loi ayant déjà fait l’objet d’articles (3 et 4).
La Cnil qui a toujours été particulièrement vigilante quant à la mise en place de dispositifs d’alerte professionnelle, fournit un cadre étendu à ces dispositifs pour lesquels deux changements sont particulièrement notables.
Extension du champ d’application
Le champ d’application de l’AU-004 relative aux alertes professionnelles est désormais délimité par rapport à la nature des manquements signalés et non plus par rapport aux domaines concernés par les alertes.
Procédant à une extension du périmètre, l’AU-004 relative aux alertes professionnelles vise désormais tout signalement réalisé de « manière désintéressée et de bonne foi » :
- d’un crime ou un délit ;
- d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;
- d’ une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;
- d’une violation grave et manifeste de la loi ou du règlement ;
- d’une menace ou un préjudice graves pour l’intérêt général, dont l’émetteur de l’alerte a eu personnellement connaissance ;
- relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
- relatifs un manquement à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable du traitement.
Extension des personnes concernées
Dans sa version antérieure, l’AU-004 relative aux dispositifs d’alerte professionnelle ne visait que les employés de l’organisme. Cependant, la définition générale instaurée par la loi Sapin 2 désigne tant les employés que les collaborateurs extérieurs et occasionnels. L’articulation était donc sujette à débat.
La Cnil tranche en faveur d’une approche extensive. L’AU-004 relative aux dispositifs d’alerte professionnelle vise désormais tant les membres du personnel, les collaborateurs extérieurs et occasionnels ayant vocation à utiliser le dispositif d’alertes professionnelles. Ces personnes devront faire l’objet d’une information détaillée concernant la procédure de recueil des signalements et les différents destinataires.
Recommandations des dispositifs d’alerte professionnelle
Dans tous les cas, les organismes doivent veiller à être en conformité avec la réglementation relative à la protection des données à caractère personnel :
- soit en s’assurant de la conformité des formalités déjà effectuées, notamment au regard des nouvelles conditions posées par le texte ;
- soit en procédant à un engagement de conformité conforme à l’AU-004 relative aux dispositifs d’alerte professionnelle ;
- soit en procédant à une demande d’autorisation spécifique si le traitement n’est pas en tous points conforme à l’AU-004 relative aux dispositifs d’alerte professionnelle.
Par ailleurs, l’entrée en vigueur le 25 mai 2018 du RGPD (5) pourrait avoir des implications sur ces formalités préalables. Si la loi Informatique et libertés s’applique toujours, il est cependant recommandé aux organismes d’anticiper le Règlement européen sur la protection des données et de s’assurer que les dispositifs répondent aux nouvelles exigences, notamment en termes de sécurité, de confidentialité, ou encore concernant l’analyse d’impact.
Conclusion
La Cnil apporte donc des réponses attendues face aux développements des traitements de données relatifs aux dispositifs d’alerte professionnelle et à la sensibilité des données traitées.
Lexing Alain Bensoussan Avocats
Lexing Contentieux numérique
(1) Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004) (rectificatif) (JO du 26-8-2017)
(2) Loi n°2016-1691 du 9-12-2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « loi Sapin 2 ».)
(3) V. Bensoussan-Brulé, « Loi Sapin 2 : un socle commun pour les lanceurs d’alerte« , Alain Bensoussan.com 27-6-2017.
(4) V. Bensoussan-Brulé, « Loi Sapin 2 : un dispositif spécifique anticorruption« , Alain Bensoussan.com 28-6-2017.
(5) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD Règlement général sur la protection des données).