Du nouveau dans les dispositifs d’alerte professionnelle !

Photo de profil - BOUNEDJOUM Amira | Avocat | Lettre des réseaux

BOUNEDJOUM Amira

Avocat

Délibération n°2017-191 du 22 juin 2017 portant modification de la délibération n°2005-305 du 8 décembre 2005

La CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle.

La loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Loi Sapin II » a rendu obligatoire pour certains organismes la mise en place de dispositifs d’alertes professionnelles.

Dans ce contexte, la CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004).

Retour sur les nouvelles modifications apportées !


1. Un champ d’application plus large

L’ancienne version de l’AU-004 encadrait très strictement la mise en place des dispositifs d’alertes qui ne pouvaient s’inscrire que dans le cadre d’une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption.

Désormais, l’AU-004 couvre l’ensemble des dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi, à savoir :

(i) un crime ou un délit ;

(ii) une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;

(iii) une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;

(iv) une violation grave et manifeste de la loi ou du règlement ;

(v) une menace ou un préjudice graves pour l’intérêt général, dont l’émetteur de l’alerte a eu personnellement connaissance. 

(vi) les signalements émanant du personnel et relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;

(vii) les signalements émanant d’employés, relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

La CNIL précise néanmoins que l’alerte ne peut porter sur des éléments couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client.

Une telle alerte peut tout de même être mise en œuvre sous réserve d’une demande d’autorisation spécifique adressée à la CNIL.


2. La qualité du lanceur d’alerte

L’ancienne AU-004 prévoyait que seuls les employés de l’organisme pouvaient émettre une alerte.

Désormais, une alerte professionnelle peut être émise par un membre du personnel de l’organisme ou un collaborateur extérieur et occasionnel.

S’agissant du traitement de ses données d’identité, la CNIL rappelle la nécessité d’identifier les personnes auteurs d’un signalement, l’organisme ne devant pas inciter à l’émission d’alertes de façon anonyme.

Le nouveau texte de l’AU-004 précise que les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.

Ceux de nature à identifier la personne mise en cause par le signalement ne peuvent quant à eux être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.


3. L’information des personnes concernées

Compte tenu du fait que le lanceur d’alerte n’est pas forcément un membre du personnel de l’organisme, la CNIL rappelle que l’information doit être délivrée à l’ensemble des utilisateurs potentiels du dispositif, c’est-à-dire aux membres du personnel mais également aux collaborateurs extérieurs et occasionnels.

Afin d’être conforme aux dispositions de l’article 8 de la loi Sapin II, outre les mentions d’information habituelles, l’information des personnes concernées doit également préciser les étapes de la procédure de recueil des signalements et notamment les destinataires et les conditions auxquelles l’alerte peut leur être adressée.

A noter que la modification de l’AU-004 ne requiert pas de démarches nouvelles pour les organismes ayant déclaré leur dispositif en référence à l’ancienne délibération.

Ainsi, les responsables ayant déclaré leurs dispositifs avant la modification de la délibération doivent simplement veiller à ce que ces derniers soient mis en œuvre conformément au texte de la nouvelle délibération.

Rappelons que cette autorisation unique ne vise pas uniquement les organismes ayant l’obligation de déployer des dispositifs d’alerte, les organismes souhaitant volontairement les mettre en œuvre pouvant également en bénéficier.

Sommaire

Autres articles

some
Publication d’un avis de la Commission Supérieure du Numérique et des Postes portant recommandations dans le domaine de la sécurité numérique
La CSNP a publié [...] un avis portant recommandations dans le domaine de la sécurité numérique, et plaidant notamment pour la création d’un parquet national consacré à la cybercriminalité et pour la création d’un dispositif dédié au paiement des rançons
some
Le Conseil d’Etat se prononce sur la conservation des données de connexion à des fins de sauvegarde de la sécurité nationale
Dans une décision en date du 21 avril 2021, le Conseil d’Etat s’est prononcé sur la conformité du droit français au droit européen en matière de conservation des données de connexion par les fournisseurs de services de communications électroniques.
some
La cour d’appel de Paris apporte des précisions sur le régime applicable en matière de violation de licence de logiciel
La cour d’appel de Paris a, dans un arrêt du 19 mars 2021, considéré que la violation d’un contrat de licence de logiciel ne relevait pas de la responsabilité délictuelle mais de la responsabilité contractuelle.
some
Le révolutionnaire avis client
À l’heure où le marketing traditionnel est remis en cause, l’importance de l’avis client est grandissante. 88 % des internautes consultent les avis clients avant un achat en ligne et 73 % avant un achat en boutique .
some
La Commission européenne apporte des éclaircissements concernant les transferts de données personnelles vers le Royaume Uni
La Commission européenne a annoncé avoir engagé des démarches pour autoriser de façon générale les transferts de données à caractère personnel vers le Royaume Uni en publiant le 19 février 2021 deux projets de décisions dites « d’adéquation ».
some
Blocage de sites proposant des produits contrefaisants
En cas d’atteinte à une marque, le titulaire de celle-ci peut solliciter des mesures de blocage d’accès à des sites internet auprès des FAI sur le fondement de l’article 6-I-8 de la LCEN.