L'Autorisation unique pour les traitements de données à caractère personnel résultant de la Loi Sapin II enfin applicable !

Data Protection Alert

Par:

Par une Délibération n° 2017-191 du 22 juin 2017 (publiée au Journal Officiel le 25 juillet 2017), la CNIL a amendé l’Autorisation Unique n°AU-004 encadrant les dispositifs d’alertes professionnelles.

Ces modifications, très attendues des entreprises, ont principalement pour objet de simplifier les formalités applicables aux traitements de données à caractère personnel résultant de la mise en œuvre des dispositifs de conformité imposés par la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (dites « Sapin II »).

Un périmètre de l'AU-004 désormais largement étendu

La CNIL a toujours été particulièrement vigilante s’agissant des dispositifs d’alerte professionnelle (ou whistleblowing) mis en place par les entreprises, considérant qu'ils ne reposaient pas sur un fondement légal de droit français et qu'ils contribuaient à la mise en œuvre d'un système de "délation organisée". Cette réticence l'avait conduite à adopter en 2005 l’Autorisation Unique n° AU-004 afin de fixer les conditions dans lesquelles ces dispositifs pouvaient être considérés comme licites du point de vue de la protection des données personnelles. Initialement limitée aux alertes relatives aux domaines financiers, comptables, bancaires et de lutte contre la corruption l'AU-004 a déjà fait l’objet de plusieurs révisions afin d’y intégrer certaines évolutions législatives et règlementaires. En 2010, les pratiques anti-concurrentielles ont été intégrées dans le champ des alertes autorisées et en février 2014, le périmètre des alertes autorisées dans le cadre de l’AU-004 a été étendu aux faits de discrimination et de harcèlement sur le lieu de travail, à la santé, l’hygiène et la sécurité au travail, ainsi qu’à des problématiques environnementales (voir notre article du 14 février 2014 à ce sujet sur le blog de DLA Piper Privacy Matters).

Avec la loi Sapin II, la CNIL - prenant appui sur un texte de droit français comme fondement légal - étend à nouveau le périmètre des domaines couverts par l’AU-004, mais cette fois de manière assez considérable, puisque les limites qu'elle avait fixées jusqu'alors en terme de domaines pouvant faire l'objet d'une alerte sont désormais levées.

En effet, l’AU-004 couvre maintenant les dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation (réalisés de manière désintéressée et de bonne foi) :

  • D’un crime ou délit
  • D’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France
  • D’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France
  • D’une violation grave et manifeste de la loi ou du règlement
  • D’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance
  • Relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l'Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution
  • Relatifs à l'existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement

On note ainsi que la liste des domaines, objet d'une alerte est extrêmement large et se rapproche ainsi du périmètre des alertes admis depuis des années outre Atlantique

Par exception, l’AU-004 ne pourra toutefois couvrir les alertes portant sur des faits couverts (i) par le secret de la défense nationale, (ii) par le secret médical ainsi que (iii) par le secret des relations entre un avocat et son client.

Ce périmètre étendu s'accompagne d'autres modifications significatives devant affecter l'organisation des dispositifs d'alerte existant.

Les modifications significatives à prendre en compte pour mettre en place un système d'alerte

Les autres modifications de l’AU-004 qui sont susceptibles d’avoir un impact sur les entreprises mettant en œuvre des dispositifs d’alerte professionnelle sont les suivantes :

  • Identité du lanceur d’alerte :
    1. Peuvent désormais être des lanceurs d'alerte, non seulement les salariés de l'entreprise mais également les collaborateurs extérieurs et occasionnels de l’organisme ayant mis en place le dispositif. En d’autres termes, l’entreprise peut maintenant ouvrir l’accès à ces systèmes à des personnes ne faisant pas stricto sensu partie de son personnel.
    2. L’AU-004 dans son ancienne version prévoyait déjà l’obligation d’identifier les lanceurs d’alerte et l'interdiction d'encourager l'anonymat. Il est par ailleurs précisé que les informations d’identification du lanceur d’alerte ne pourront être divulguées à un tiers sans son consentement (à l’exception d’une divulgation aux autorités judiciaires).
  • Identité de la personne mise en cause : De même, les éléments permettant d’identifier la personne objet du signalement ne pourront être divulgués à un tiers qu'une fois le caractère fondé de l’alerte établi (à l’exception d’une divulgation aux autorités judiciaires).
  • Information des personnes :
    1. L’information concernant le traitement de données personnelle mis en œuvre doit être fournie à tout utilisateur potentiel du dispositif. Par conséquent, le dispositif étant ouvert à des collaborateurs extérieurs, l’entreprise devra veiller à informer les collaborateurs extérieurs au même titre que son personnel.
    2. Cette information devra notamment contenir les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions dans lesquelles les signalements peuvent leur être adressés.
  • Destinataires des alertes : La CNIL prévoit que les alertes peuvent être adressées à l'employeur, au supérieur hiérarchique direct ou indirect, mais également aux référents ou prestataires de services tiers, avec l'obligation de prendre à l'égard de ces derniers des mesures contractuelles visant à assurer la sécurité des données qui leur sont confiées et à faire respecter les exigences règlementaires applicables (notamment en terme de durée de conservation, confidentialité, non détournement, restitution des données en fin de contrat etc.).
  • Enfin, la CNIL rassure les acteurs américains du marché (souvent très impliqués dans la gestion des dispositifs d'alerte professionnelle) en reconnaissant la validité du Privacy Shield en cas de transfert vers des destinataires ainsi certifiés.

Quelles sont les formalités pour les entreprises concernées ?

Les organismes ayant déjà soumis à un CNIL un engagement de conformité à l’AU-004 n’ont aucune démarche à effectuer. Ils devront néanmoins procéder à la révision de leur notice d'information et des procédures internes en place pour respecter les nouvelles conditions de l’AU-004, notamment en termes de traitement de l’identité du lanceur d’alerte et de la personne concernée par le signalement, contrats avec les prestataires etc.

Si aucune formalité n’a été accomplie par l’organisme, et que le traitement mis en œuvre est conforme aux conditions de l’AU-004 dans sa nouvelle version, un engagement de conformité doit être adressé à la CNIL.

Si, le traitement n’est pas conforme à l’AU-004 (par exemple, si l’entreprise entend mettre en place un dispositif permettant des alertes relatives à des faits couverts par le secret médical ou le secret des relations entre un avocat et ses clients), une demande d’autorisation spécifique devra être adressée à la CNIL.

L'adoption de cette nouvelle autorisation unique AU-004 ne peut être accueillie que favorablement par les entreprises dont les dispositifs d’alerte professionnelle de type hotline se généralisent et deviennent, pour beaucoup, un élément indispensable de la conformité. Elle va par ailleurs certainement permettre à la CNIL de réduire le nombre de demandes d’autorisations spécifiques déposées pour couvrir des dispositifs de lutte contre la corruption, le blanchiment, ou le financement du terrorisme, demandes dont le nombre a déjà diminué de manière importante depuis 2014.

Pour plus d’informations, veuillez contacter les authers.

Consultez la Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle