La Cnil met à jour la délibération sur les dispositifs d’alertes professionnelles
La Cnil vient de modifier le champ d’application de l’autorisation unique n°AU-004 relative aux dispositifs d’alertes professionnelles, afin de tenir compte de la décision de la Cour de Cassation du 8 décembre 2009, qui avait mis en lumière les difficultés d’interprétation de certains articles de l’autorisation unique. Rappelons qu’à la suite de la réglementation américaine Sarbanes-Oxley, de nombreuses sociétés internationales opérant au sein de l’Union européenne ont souhaité mettre en placeun système de collecte d’informations nominatives relatives à des comportements anormaux (« whistleblowing »).
De telles lignes sont organisées selon des schémas différents, desquels il ressort néanmoins les invariants comme un numéro de téléphone ou une adresse mél, un interlocuteur unique (directeur éthique, déontologue, contrôleur général), un processus de fichage manuel ou automatique selon la taille de l’organisme et la centralisation retenue et une procédure d’enquête associée à un code de bonne conduite ou à une charte.
Les dispositifs d’alertes professionnelles mis en œuvre sur les lieux de travail peuvent prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d’exclure des personnes du bénéfice de leur contrat de travail, en l’absence de toute disposition législative ou réglementaire. Dès lors, la Cnil considère que de tels dispositifs constituent des traitements relevant de l’article 25, I-4o de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la Cnil. Elle a, par délibération du 8 décembre 2005, adopté l’autorisation unique n° 004 relative aux dispositifs d’alertes professionnelles qui vise notamment « les domaines financier, comptable, bancaire et de lutte contre la corruption ».
L’article 3 de l’autorisation unique n° AU-004 du 8 décembre 2005 prévoyait que « Des faits qui ne se rapportent pas à ces domaines peuvent toutefois être communiqués aux personnes compétentes de l’organisme concerné lorsque l’intérêt vital de cet organisme ou l’intégrité physique ou morale de ses employés est en jeu ». Une majorité d’entreprises pensait s’être mise en conformité en ayant adhéré à l’autorisation unique n° 4 qui englobe dans le champ d’application les cas de mise en jeu de l’intérêt vital de l’entreprise ou de l’intégrité physique ou morale de ses employés, que les remontées puissent être faites de manière anonyme ou non (art. 3).
La Cour de cassation est venue affirmer, le 8 décembre 2009, que « le champ d’application de l’autorisation unique ne peut avoir une autre finalité que celle définie à son article 1 que les dispositions de l’article 3 n’ont pas pour objet de modifier ». A cette occasion, la Cour de cassation a rappelé que la mise en œuvre d’un dispositif d’alertes professionnelles, faisant l’objet d’un engagement de conformité à l’autorisation unique, devait se limiter aux seuls domaines comptable, financier et de lutte contre la corruption définis à l’article 1er et que l’article 3 ne devait pas être interprété comme permettant un élargissement de la finalité des dispositifs d’alertes, tels que prévus par l’autorisation unique.
Cet arrêt ayant mis en lumière les difficultés d’interprétation de certains articles de la AU 004, a conduit la Cnil, après avoir auditionné les principaux acteurs concernés par les dispositifs d’alertes (organisations syndicales, institutions publiques, groupes internationaux, etc.), à modifier son autorisation unique. La Cnil, dans sa nouvelle rédaction de l’autorisation unique du 14 octobre 2010, clarifie l’article 3 et fait preuve d’une interprétation restrictive de l’arrêt de la Cour de cassation en :
- élargissant l’ancien article 1er de l’autorisation unique à la loi japonaise dite « Japanese SOX » et aux traitements mis en œuvre pour lutter contre les pratiques anticoncurrentielles au sein de l’organisme concerné ;
- supprimant du champs d’application de l’autorisation unique les faits mettant en jeu l’intérêt vital de l’entreprise ou l’intégrité physique ou morale de ses employés.
Par ailleurs, la Cnil donne aux responsables de traitements un délai de 6 mois (soit jusqu’au 8 juin 2011) pour mettre en conformité leurs dispositifs d’alertes professionnelles à la réglementation Informatique et libertés. Les dispositifs qui n’entrent pas dans le champs d’application de la nouvelle AU 004, tels que ceux qui couvrent les domaines de la discrimination notamment, devront donc faire l’objet d’une demande d’autorisation normale auprès de la Cnil. Il est conseillé d’accompagner cette demande d’autorisation d’un dossier présentant de manière détaillée les fondamentaux techniques, juridiques et sécuritaires à l’appui de la demande d’autorisation.
Cnil, Délibération 2010-369 du 14 10 2010