Délibération n°2019-139 du 18 juillet 2019 portant adoption d’un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles
La CNIL publie un référentiel dédié aux dispositifs d’alertes professionnelles ayant pour objet de se substituer à l’autorisation unique AU-004 dénuée de force juridique depuis l’entrée en application du Règlement européen sur la protection des données.
Dans la continuité de sa délibération en date du 18 juillet 2019, l’autorité de contrôle française a publié un référentiel dédié à la mise en œuvre de dispositifs de recueil et de gestion des alertes professionnelles qui nécessitent un traitement de données à caractère personnel.
Ce référentiel s’adresse aux organismes privés et publics qui choisissent ou sont tenus de mettre en place de tels dispositifs. Il a vocation à permettre aux diverses entités d’assurer la conformité des traitements opérés dans ce cadre au Règlement européen sur la protection des données (« RGPD ») et à la loi Informatique et libertés modifiée.
En effet, depuis l’entrée en vigueur du RGPD, les autorisations uniques adoptées par la CNIL n’ont plus de valeur juridique. Tel est le cas de l’autorisation unique AU-004 ayant pour objet les traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alertes professionnelles.
Ces mécanismes de whistleblowing ont pour dessein de permettre le signalement à un organisme de telles situations pouvant affecter l’activité d’une entreprise ou engager sa responsabilité.
Ils répondent notamment à :
- la loi n°2016-1671 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Loi Sapin 2 » ou encore ;
- la loi n°2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre.
Rappelons en premier lieu que constitue une alerte professionnelle « tout signalement effectué de bonne foi et qui révèle ou signale une infraction pénale, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général ».
Sont exclus les faits couverts par le secret de la défense nationale, par le secret médical ou par le secret des relations entre un avocat et son client.
En outre, la CNIL étend le référentiel aux dispositifs d’alertes éthiques relatifs aux violations de règles codifiées dans des documents écrits tels qu’un règlement intérieur ou une charte éthique.
Le référentiel constitue une aide utile à l’élaboration d’une analyse d’impact, dont la réalisation préalable est obligatoire. Rappelons que la CNIL a publié en ce sens, dans une délibération n°2018-327 du 11 octobre 2018, la liste des types d’opérations de traitement de données à caractère personnel pour lesquelles une analyse d’impact est requise.
La publication de ce texte offre également un éclairage sur les catégories de données à caractère personnel impactées par un tel dispositif. Il est en effet utile de rappeler que chaque traitement de données à caractère personnel doit répondre au respect des principes de minimisation et de pertinence des données.
En outre, l’autorité de contrôle met exergue le devoir d’information générale des personnes et notamment l’existence d’informations spécifiques à délivrer au lanceur de l’alerte ou encore à la personne visée par l’alerte.
Enfin, le référentiel dresse une liste utile de mesures de sécurité techniques et organisationnelles, par catégorie, devant être déployées par le responsable de traitement.
2081 vues 
