Alertes professionnelles : modification de l’autorisation unique n°AU-004

28 juillet 2017

La CNIL modifie l’autorisation unique n° AU-004 qui encadre les dispositifs d’alertes professionnelles afin de tenir compte des dispositions issues de la loi Sapin II relative à la transparence et à la lutte contre la corruption

La Commission a toujours été particulièrement vigilante quant aux modalités de mise en œuvre des traitements de données à caractère personnel dans le cadre des dispositifs d’alertes professionnelles. Face à leur développement et en raison de la sensibilité des traitements de données qu’ils supposent, la Commission a fixé, dès 2005, un encadrement de ces traitements permettant aux organismes de les mettre en œuvre dans le respect des règles relatives à la protection des données personnelles, et de bénéficier d’une procédure d’autorisation simplifiée (Autorisation unique n° AU-004). Cette autorisation unique a ensuite fait l’objet de modifications pour intégrer les évolutions législatives et règlementaires ultérieures.

La loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Loi Sapin II » est venue instituer un régime commun de l’alerte en précisant la procédure à suivre s’agissant des conditions d’émission et de traitement des alertes.

C’est dans ce contexte que la CNIL a procédé à une nouvelle actualisation de l’autorisation unique 004 relative aux dispositifs d’alertes professionnelles.

Cette autorisation unique a pour objectif de couvrir les dispositifs d’alertes professionnelles que la loi Sapin II rend obligatoires pour certains organismes mais également ceux que d’autres décideraient volontairement de mettre en œuvre, dès lors que leurs dispositifs répondraient effectivement aux conditions fixées par l’AU-004.

Quelles sont les modifications apportées sur l’AU-004 ?

  1. Concernant le fondement légal de l’autorisation unique

La Commission est venue apporter des précisions sur le fondement légal. En effet, dans la mesure où certaines données relatives notamment à des infractions peuvent être collectées via ce dispositif, celui-ci est soumis à une demande d’autorisation sur le fondement de l’article 25-I-3° de la loi « Informatique et Libertés ».

  1. Concernant le champ d’application

Jusqu’à présent, il existait un certain nombre de dispositifs d’alerte spécifiques et propres à certains secteurs, légalement prévus, qui offraient la possibilité aux salariés d’un organisme de signaler des manquements aux règles internes. D’autres dispositifs étaient mis en œuvre volontairement par les organismes sur le fondement de l’intérêt légitime du responsable de traitement. Le champ d’application de l’AU-004 était limité à certains d’entre eux.

Désormais, et pour se conformer aux dispositions de la loi Sapin II, le périmètre de l’AU-004 a été étendu puisqu’il couvre les dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi :

  • d’un crime ou délit ;
  • d’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • d’une violation grave et manifeste de la loi ou du règlement ;
  • d’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
  • relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l'Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
  • relatifs à l'existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

L’AU-004 ne couvre cependant pas les alertes portant sur des faits couverts par le secret de la défense nationale, par le secret médical ainsi que par le secret des relations entre un avocat et son client. Pour le traitement de ces alertes, une demande d’autorisation spécifique devra être adressée à la CNIL.

  1. Concernant la qualité du lanceur d’alerte

Désormais, une alerte professionnelle peut être émise par un membre du personnel de l’organisme ou un collaborateur extérieur et occasionnel.

  1. Concernant le traitement de l’identité du lanceur d’alerte

La CNIL a toujours rappelé la nécessité d’identifier les personnes auteurs d’un signalement. 

Il est dorénavant précisé que les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.

De même, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.

  1. Concernant les transferts de données hors de l’Union Européenne

La référence au Privacy Shield substitue désormais celle au Safe Harbor.

  1. Concernant les durées de conservation des données

Lorsqu’une alerte est considérée comme n’entrant pas dans le champ du dispositif dès son recueil par le responsable de traitement les données la concernant doivent immédiatement être supprimées ou archivées après anonymisation.

Lorsqu’une alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation doit intervenir dans un délai de deux mois après la clôture des vérifications, dans les conditions détaillées par la délibération. 

  1. Concernant l’information des personnes

La CNIL rappelle que l’information doit être délivrée à l’ensemble des utilisateurs potentiels du dispositif, c'est-à-dire aux membres du personnel mais également aux collaborateurs extérieurs et occasionnels.

L’information doit notamment contenir les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions auxquelles les signalements peuvent être adressés à chacun d’entre eux.

Quelle formalité accomplir ?

Dans la mesure où le nouveau champ d’application de l’AU-004 couvre ceux antérieurement listés, les organismes qui auraient déjà accompli des formalités n’ont aucune démarche à effectuer sur ce point. Néanmoins, ils devront s’assurer de respecter les nouvelles conditions posées par le texte.

Si aucune formalité n’a été accomplie, les organismes concernés pourront procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d’autorisation spécifique si leur traitement n’est pas conforme à l’AU-004.

ERRATUM : Cette délibération, publiée au Journal Officiel le 26 août 2017, remplace la version mise en ligne par erreur le 25 juillet 2017

Les mots clés associés à cet article