Alertes professionnelles : la Cnil étend le champ de son autorisation unique

PARIS, 1er septembre 2017 – L’autorisation unique, qui encadre les dispositifs d’alertes professionnelles, a été modifiée par la Cnil par une délibération parue cet été afin de prendre en compte des dispositions de la loi Sapin II.

À compter du 1er janvier 2018, tout employeur d’au moins 50 salariés devra avoir organisé une procédure de recueil des signalements émis par les lanceurs d’alerte. Et, il devra le déclarer à la Cnil lorsque cette procédure comporte un traitement automatisé de données à caractère personnel. Compte tenu de ces évolutions, la Cnil a décidé d’actualiser son autorisation unique n° 004 relative aux dispositifs d’alertes professionnelles.

Rappel de la procédure dans le cadre de l’autorisation unique

Dans le cadre de cette autorisation unique, le responsable de traitement doit vérifier que le système d’alerte qu’il envisage de mettre en œuvre répond strictement aux conditions de ladite autorisation. Si tel est le cas, le responsable du traitement adresse simplement à la Cnil un engagement de conformité à cette autorisation. Dans le cas inverse, le dispositif doit faire l’objet d’une autorisation spécifique accordée au cas par cas par la Cnil. Pour les organismes qui ont déjà accompli les formalités avant l’actualisation de l’autorisation, aucune démarche n’est à effectuer car le nouveau champ d’application de l’AU-004 couvre ceux antérieurement listés. Néanmoins, ils devront s’assurer de respecter les nouvelles conditions posées par le texte. Rappelons que seuls peuvent faire l’objet d’un engagement de conformité les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés ayant pour finalité le signalement et le traitement des alertes au sein de l’organisme.

Le nouveau champ de l’AU-004

Le périmètre de l’autorisation unique couvre les dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi :

– d’un crime ou délit ;

– d’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;

– d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;

– d’une violation grave et manifeste de la loi ou du règlement ;

– d’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance.

Sont également couverts le recueil des signalements relatifs :

– aux obligations définies par les règlements européens et par le Code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;

– à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

Restent exclues du champ de cette autorisation les alertes portant sur des faits couverts par le secret de la défense nationale, par le secret médical et par le secret des relations entre un avocat et son client. Le traitement de ces alertes requiert toujours une autorisation spécifique de la Commission nationale de l’informatique et des libertés (Cnil).

Les nouveautés liées au lanceur d’alerte

Dans son autorisation, la Cnil rappelle la nécessité d’identifier les personnes auteurs d’un signalement, mais elle précise désormais que les éléments de nature à l’identifier ne peuvent être divulgués, sauf à l’autorité judiciaire et seulement avec le consentement de la personne. De même, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire et une fois que le caractère fondé de l’alerte est établi.

Selon l’autorisation unique, une information claire et complète de l’ensemble des utilisateurs potentiels du dispositif d’alerte doit être réalisée. Elle est délivrée, précise la Cnil, aux membres du personnel de l’organisme concerné, mais également aux collaborateurs extérieurs et occasionnels. L’information doit notamment contenir les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions auxquelles les signalements peuvent être adressés à chacun d’entre eux.