Délibération n°2017-191 du 22 juin 2017 portant modification de la délibération n°2005-305 du 8 décembre 2005
La CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle.
La loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Loi Sapin II » a rendu obligatoire pour certains organismes la mise en place de dispositifs d’alertes professionnelles.
Dans ce contexte, la CNIL a adopté, le 22 juin 2017, une délibération portant modification de sa délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004).
Retour sur les nouvelles modifications apportées !
1. Un champ d’application plus large
L’ancienne version de l’AU-004 encadrait très strictement la mise en place des dispositifs d’alertes qui ne pouvaient s’inscrire que dans le cadre d’une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption.
Désormais, l’AU-004 couvre l’ensemble des dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi, à savoir :
(i) un crime ou un délit ;
(ii) une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
(iii) une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;
(iv) une violation grave et manifeste de la loi ou du règlement ;
(v) une menace ou un préjudice graves pour l’intérêt général, dont l’émetteur de l’alerte a eu personnellement connaissance.
(vi) les signalements émanant du personnel et relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
(vii) les signalements émanant d’employés, relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.
La CNIL précise néanmoins que l’alerte ne peut porter sur des éléments couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client.
Une telle alerte peut tout de même être mise en œuvre sous réserve d’une demande d’autorisation spécifique adressée à la CNIL.
2. La qualité du lanceur d’alerte
L’ancienne AU-004 prévoyait que seuls les employés de l’organisme pouvaient émettre une alerte.
Désormais, une alerte professionnelle peut être émise par un membre du personnel de l’organisme ou un collaborateur extérieur et occasionnel.
S’agissant du traitement de ses données d’identité, la CNIL rappelle la nécessité d’identifier les personnes auteurs d’un signalement, l’organisme ne devant pas inciter à l’émission d’alertes de façon anonyme.
Le nouveau texte de l’AU-004 précise que les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.
Ceux de nature à identifier la personne mise en cause par le signalement ne peuvent quant à eux être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.
3. L’information des personnes concernées
Compte tenu du fait que le lanceur d’alerte n’est pas forcément un membre du personnel de l’organisme, la CNIL rappelle que l’information doit être délivrée à l’ensemble des utilisateurs potentiels du dispositif, c’est-à-dire aux membres du personnel mais également aux collaborateurs extérieurs et occasionnels.
Afin d’être conforme aux dispositions de l’article 8 de la loi Sapin II, outre les mentions d’information habituelles, l’information des personnes concernées doit également préciser les étapes de la procédure de recueil des signalements et notamment les destinataires et les conditions auxquelles l’alerte peut leur être adressée.
A noter que la modification de l’AU-004 ne requiert pas de démarches nouvelles pour les organismes ayant déclaré leur dispositif en référence à l’ancienne délibération.
Ainsi, les responsables ayant déclaré leurs dispositifs avant la modification de la délibération doivent simplement veiller à ce que ces derniers soient mis en œuvre conformément au texte de la nouvelle délibération.
Rappelons que cette autorisation unique ne vise pas uniquement les organismes ayant l’obligation de déployer des dispositifs d’alerte, les organismes souhaitant volontairement les mettre en œuvre pouvant également en bénéficier.
2080 vues 
