Archives de Tag: Formalité à accomplir

Alertes professionnelles : modification de la délibération de la CNIL  


La CNIL a modifié l’autorisation unique n° AU-004 qui encadre les dispositifs d’alertes professionnelles pour prendre en compte les dispositions  de la loi Sapin II relative à la transparence et à la lutte contre la corruption : délibération, publiée au Journal Officiel le 26 août 2017 .

Face au développement des dispositifs d’alertes professionnelles et en raison de la sensibilité des traitements de données qu’ils supposent, la Commission a fixé, dès 2005, un encadrement permettant aux organismes de les mettre en œuvre dans le respect des règles relatives à la protection des données personnelles, et de bénéficier d’une procédure d’autorisation simplifiée (Autorisation unique n° AU-004).

La loi « Sapin II » du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique a institué un régime commun de l’alerte en formalisant  la procédure à suivre s’agissant des conditions d’émission et de traitement des alertes.

En conséquence, la CNIL a procédé à une actualisation de l’autorisation unique 004 relative aux dispositifs d’alertes professionnelles dans l’objectif de couvrir les dispositifs d’alertes professionnelles que la loi Sapin II rend obligatoires pour certains organismes mais également ceux que d’autres décideraient volontairement de mettre en œuvre..

  1. FONDEMENT LÉGAL DE L’AUTORISATION UNIQUE: LA COMMISSION A PRÉCISÉ QUE DANS LA MESURE OÙ CERTAINES DONNÉES RELATIVES NOTAMMENT À DES INFRACTIONS PEUVENT ÊTRE COLLECTÉES VIA CE DISPOSITIF, CELUI-CI EST SOUMIS À UNE DEMANDE D’AUTORISATION SUR LE FONDEMENT DE L’ARTICLE 25-I-3° DE LA LOI « INFORMATIQUE ET LIBERTÉS ».

  1. CHAMP D’APPLICATION : DÉSORMAIS, LE PÉRIMÈTRE DE L’AU-004 A ÉTÉ ÉTENDU CAR IL COUVRE LES DISPOSITIFS D’ALERTES PROFESSIONNELLES PERMETTANT LE RECUEIL DE TOUT SIGNALEMENT OU RÉVÉLATION RÉALISÉS DE MANIÈRE DÉSINTÉRESSÉE ET DE BONNE FOI :

  • d’un crime ou délit ;
  • d’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • d’une violation grave et manifeste de la loi ou du règlement ;
  • d’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
  • relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
  • relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

L’AU-004 ne couvre cependant pas les alertes portant sur des faits couverts par le secret de la défense nationale,  le secret médical et le secret des relations entre un avocat et son client.       Pour le traitement de ces alertes, une demande d’autorisation spécifique doit être adressée à la CNIL.

  1. QUALITÉ DU LANCEUR D’ALERTE : DÉSORMAIS, UNE ALERTE PROFESSIONNELLE PEUT ÊTRE ÉMISE PAR UN MEMBRE DU PERSONNEL DE L’ORGANISME OU UN COLLABORATEUR EXTÉRIEUR ET OCCASIONNEL.

  1. TRAITEMENT DE L’IDENTITÉ DU LANCEUR D’ALERTE: LES ÉLÉMENTS DE NATURE À IDENTIFIER L’ÉMETTEUR DE L’ALERTE NE PEUVENT ÊTRE DIVULGUÉS, SAUF À L’AUTORITÉ JUDICIAIRE, QU’AVEC LE CONSENTEMENT DE LA PERSONNE.DE MÊME, LES ÉLÉMENTS DE NATURE À IDENTIFIER LA PERSONNE MISE EN CAUSE PAR UN SIGNALEMENT NE PEUVENT ÊTRE DIVULGUÉS, SAUF À L’AUTORITÉ JUDICIAIRE, QU’UNE FOIS ÉTABLI LE CARACTÈRE FONDÉ DE L’ALERTE.

  1. TRANSFERTS DE DONNÉES HORS DE L’UNION EUROPÉENNE: LA RÉFÉRENCE AU PRIVACY SHIELD SUBSTITUE DÉSORMAIS CELLE AU SAFE HARBOR.

  1. DURÉES DE CONSERVATION DES DONNÉES : LORSQU’ UNE ALERTE EST CONSIDÉRÉE COMME N’ENTRANT PAS DANS LE CHAMP DU DISPOSITIF DÈS SON RECUEIL PAR LE RESPONSABLE DE TRAITEMENT, LES DONNÉES LA CONCERNANT DOIVENT IMMÉDIATEMENT ÊTRE SUPPRIMÉES OU ARCHIVÉES APRÈS ANONYMISATION.

Lorsqu’une alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation doit intervenir dans un délai de deux mois après la clôture des vérifications, dans les conditions détaillées par la délibération.

  1. INFORMATION DES PERSONNES:  L’INFORMATION DOIT ÊTRE DÉLIVRÉE À L’ENSEMBLE DES UTILISATEURS POTENTIELS DU DISPOSITIF, C’EST-À-DIRE AUX MEMBRES DU PERSONNEL MAIS ÉGALEMENT AUX COLLABORATEURS EXTÉRIEURS ET OCCASIONNELS.

L’information doit notamment contenir les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions auxquelles les signalements peuvent être adressés à chacun d’entre eux.

FORMALITÉ ACCOMPLIR : LES ORGANISMES QUI AURAIENT DÉJÀ ACCOMPLI DES FORMALITÉS N’ONT AUCUNE DÉMARCHE À EFFECTUER SUR CE POINT; ILS DEVRONT S’ASSURER DE RESPECTER LES NOUVELLES CONDITIONS POSÉES PAR LE TEXTE.

Si aucune formalité n’a été accomplie, les organismes concernés pourront procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d’autorisation spécifique si leur traitement n’est pas conforme à l’AU-004.

Poster un commentaire

Classé dans Brèves

Alertes professionnelles : modification de la délibération de la CNIL


La CNIL a modifié l’autorisation unique n° AU-004 qui encadre les dispositifs d’alertes professionnelles pour prendre en compte les dispositions  de la loi Sapin II relative à la transparence et à la lutte contre la corruption : délibération, publiée au Journal Officiel le 26 août 2017 .

Face au développement des dispositifs d’alertes professionnelles et en raison de la sensibilité des traitements de données qu’ils supposent, la Commission a fixé, dès 2005, un encadrement permettant aux organismes de les mettre en œuvre dans le respect des règles relatives à la protection des données personnelles, et de bénéficier d’une procédure d’autorisation simplifiée (Autorisation unique n° AU-004).

La loi « Sapin II » du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique a institué un régime commun de l’alerte en formalisant  la procédure à suivre s’agissant des conditions d’émission et de traitement des alertes.

En conséquence, la CNIL a procédé à une actualisation de l’autorisation unique 004 relative aux dispositifs d’alertes professionnelles dans l’objectif de couvrir les dispositifs d’alertes professionnelles que la loi Sapin II rend obligatoires pour certains organismes mais également ceux que d’autres décideraient volontairement de mettre en œuvre..

  1. fondement légal de l’autorisation unique: La Commission a précisé que dans la mesure où certaines données relatives notamment à des infractions peuvent être collectées via ce dispositif, celui-ci est soumis à une demande d’autorisation sur le fondement de l’article 25-I-3° de la loi « Informatique et Libertés ».

  1. champ d’application : Désormais, le périmètre de l’AU-004 a été étendu car il couvre les dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi :

  • d’un crime ou délit ;
  • d’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • d’une violation grave et manifeste de la loi ou du règlement ;
  • d’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
  • relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
  • relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

L’AU-004 ne couvre cependant pas les alertes portant sur des faits couverts par le secret de la défense nationale,  le secret médical et le secret des relations entre un avocat et son client.       Pour le traitement de ces alertes, une demande d’autorisation spécifique doit être adressée à la CNIL.

  1. qualité du lanceur d’alerte : Désormais, une alerte professionnelle peut être émise par un membre du personnel de l’organisme ou un collaborateur extérieur et occasionnel.

  1. traitement de l’identité du lanceur d’alerte: Les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.De même, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.

  1. transferts de données hors de l’Union Européenne: La référence au Privacy Shield substitue désormais celle au Safe Harbor.

  1. durées de conservation des données : Lorsqu’ une alerte est considérée comme n’entrant pas dans le champ du dispositif dès son recueil par le responsable de traitement, les données la concernant doivent immédiatement être supprimées ou archivées après anonymisation.

Lorsqu’une alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation doit intervenir dans un délai de deux mois après la clôture des vérifications, dans les conditions détaillées par la délibération.

  1. information des personnes:  L’information doit être délivrée à l’ensemble des utilisateurs potentiels du dispositif, c’est-à-dire aux membres du personnel mais également aux collaborateurs extérieurs et occasionnels.

L’information doit notamment contenir les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions auxquelles les signalements peuvent être adressés à chacun d’entre eux.

Formalité accomplir : Les organismes qui auraient déjà accompli des formalités n’ont aucune démarche à effectuer sur ce point; ils devront s’assurer de respecter les nouvelles conditions posées par le texte.

Si aucune formalité n’a été accomplie, les organismes concernés pourront procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d’autorisation spécifique si leur traitement n’est pas conforme à l’AU-004.

Poster un commentaire

Classé dans Brèves