Délibération n° 2014-042 du 30 janvier 2014 modifiant l'autorisation unique n° 2005-305 du 8 décembre 2005 n° AU-004 relative aux traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0035 du 11 février 2014 |
| Record Number | JORFTEXT000028583464 |
| Date de publication | 11 février 2014 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Enactment Date | 30 janvier 2014 |
La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 25 (I, 4°) et 25-II ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu la délibération n° 2005-305 du 8 décembre 2005 telle que modifiée par la délibération n° 2010-369 du 14 octobre 2010 ;
Après avoir entendu M. Emmanuel de GIVRY, commissaire, en son rapport et M. Jean-Alexandre SILVY, commissaire du Gouvernement, en ses observations,
Formule les observations suivantes :
La commission a adopté le 8 décembre 2005 une délibération portant autorisation unique (AU-004) de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (« whistleblowing »).
Cette autorisation unique a déjà été modifiée le 14 octobre 2010, notamment s'agissant du champ d'application des dispositifs d'alerte, qui avait été élargi à de nouveaux domaines.
Pour pouvoir faire l'objet d'un engagement de conformité à l'AU-004, les traitements de données à caractère personnel mis en œuvre doivent répondre aux exigences de l'article 1er de l'autorisation unique, à savoir :
― soit répondre à une obligation législative ou réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption ;
― soit répondre à l'intérêt légitime du responsable du traitement au sens de l'article 7 (5°) de la loi du 6 janvier 1978 modifiée, ce dernier étant limité dans l'autorisation unique aux traitements mis en œuvre :
― dans les domaines précités par les entreprises concernées par la section 301 (4) de la loi américaine dite « Sarbanes-Oxley » du 31 juillet 2002 ainsi que par la loi japonaise « Financial Instrument and Exchange Act » du 6 juin 2006 dite « Japanese SOX » ;
― pour lutter contre les pratiques anticoncurrentielles au sein de l'organisme concerné.
...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI