Délibération n° 2019-139 du 18 juillet 2019 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°0286 du 10 décembre 2019 |
| Enactment Date | 18 juillet 2019 |
| Record Number | JORFTEXT000039468509 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Date de publication | 10 décembre 2019 |
La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu le code du commerce, notamment ses articles L. 225-102-3 et R. 822-33 ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés ;
Vu la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique (loi « Sapin 2 »), notamment ses articles 6, 8 et 17 ;
Vu la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre (loi « devoir de vigilance ») ;
Vu le décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d'alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l'Etat ;
Vu le décret n° 2019-536 du 29 mai 2019 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ;
Vu les recommandations de l'Agence française anticorruption destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d'influence, de concussion, de prise illégale d'intérêt, de détournement de fonds publics et de favoritisme ;
Après avoir entendu M. Alexandre LINDEN, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations ;
Adopte le référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles, qui sera publié au Journal officiel de la République française.
ANNEXE
Vous pouvez consulter l'intégralité du texte avec ses images à partir de l'extrait du Journal officiel électronique authentifié accessible en bas de page
1. A qui s'adresse ce référentiel ?
Ce référentiel s'adresse aux organismes privés ou publics qui sont tenus ou qui décideraient de mettre en œuvre un dispositif de recueil et de gestion des alertes professionnelles nécessitant un traitement de données à caractère personnel. Il couvre dès lors deux types de dispositifs.
D'une part, le présent référentiel concerne les dispositifs d'alerte encadrés par des dispositions législatives ou réglementaires spécifiques, que l'organisme soit ou non assujetti juridiquement à ces dispositions. Il peut s'agir, notamment, des dispositifs prévus par les articles 8 et/ou 17 de la loi dite « loi Sapin 2 »(1), ou bien mis en œuvre en application de la « loi relative au devoir de vigilance »(2), quels que soient la taille des effectifs, la nature juridique ou encore le chiffre d'affaires des organismes concernés.
Dans cette première hypothèse, constitue une alerte professionnelle tout signalement effectué de bonne foi et qui révèle ou signale une infraction pénale, une violation grave et manifeste d'un engagement international régulièrement ratifié ou approuvé par la France, d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l'intérêt général, lorsque les faits en question ne sont pas couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client.
D'autre part, le présent référentiel a également vocation à régir les dispositifs d'alertes éthiques adoptés de sa propre initiative par un organisme en vue de prohiber des comportements jugés incompatibles avec sa charte éthique ou son règlement intérieur.
Dans cette seconde hypothèse, constitue une alerte professionnelle tout signalement effectué de bonne foi et qui révèle ou signale une violation de règles éthiques adoptées par un organisme ou un groupe, dès lors que les règles en question sont codifiées dans un document écrit (tel qu'un règlement intérieur, une charte éthique, etc.) qui respecte l'ensemble du cadre juridique existant (en particulier la législation du travail et l'ensemble des droits et libertés fondamentales des personnes concernées), et dont l'existence et le caractère opposable sont préalablement portés à la connaissance de l'ensemble des personnes concernées.
Les organismes mettant en place un dispositif d'alerte doivent s'assurer de sa conformité :
- aux dispositions du Règlement général sur la protection des données (RGPD) ainsi qu'à celles de la loi du 6 janvier 1978 dite « informatique et libertés » (LIL). En effet, lorsque ces dispositifs, comme c'est le cas en règle générale, nécessitent un traitement de données relatives à des personnes physiques identifiées ou identifiables (notamment celles de l'auteur et de la ou les personnes visées par l'alerte), ils sont soumis aux règles relatives à la protection des données personnelles ;
- à l'ensemble d'autres règles de droit applicables en vertu des législations spécifiques (loi dite « Sapin 2 », etc.) ou générales (droit du travail). Le responsable de traitement doit garantir le respect les droits et les libertés fondamentales ainsi que des intérêts légitimes des personnes concernées.
En l'absence d'encadrement précis par les textes législatifs et réglementaires en vigueur, les dispositifs créés à l'initiative des organismes sous la forme par exemple de chartes éthiques ou dans leurs règlements intérieurs doivent faire l'objet d'une attention particulière.
2. Portée du référentiel
Ce référentiel a pour objectif de fournir un outil d'aide à la mise en conformité des organismes publics et privés souhaitant se doter de dispositifs de traitement d'alertes professionnelles, à la réglementation relative à la protection des données privées.
Le respect de ce référentiel permet aux organismes de s'assurer de la conformité des traitements de données mis en œuvre dans le cadre des dispositifs d'alertes aux principes relatifs à la protection des données.
Les organismes qui s'écarteraient du référentiel au regard des conditions particulières tenant à leur situation doivent être en mesure de justifier l'existence d'un tel besoin, puis prendre toutes les mesures appropriées à même de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.
Le référentiel n'a pas pour objet d'interpréter les règles de droit autres que celles relatives à la protection des données à caractère personnel. Il appartient aux acteurs concernés de s'assurer qu'ils respectent les autres réglementations qui peuvent par ailleurs trouver à s'appliquer.
Ce référentiel constitue également une aide à la réalisation d'une analyse d'impact relative à la protection des données (AIPD).
La mise en place d'un dispositif d'alertes professionnelles doit en effet systématiquement donner lieu à la réalisation préalable d'une AIPD. En effet, ces dispositifs figurent dans la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise (cf. la délibération n° 2018-327 du 11 octobre 2018 portant adoption de la liste des types d'opérations de traitement pour lesquelles une analyse d'impact relative à la protection des données est requise).
Pour réaliser une étude d'impact, le responsable de traitement pourra se reporter aux outils méthodologiques proposés par la CNIL sur son site web. Il pourra également se reporter au présent référentiel pour Les organismes pourront ainsi définir les mesures permettant d'assurer la proportionnalité et la nécessité de leurs traitements (points 3 à 7), de garantir les droits des personnes (points 8 et 9) et la maîtrise de leurs risques (point 10). A cette fin, l'organisme pourra se référer aux lignes directrices de la CNIL sur les analyses d'impact relatives à la protection des données (AIPD). Si l'organisme en a désigné un, le délégué à la protection des données (DPD/DPO) devra être consulté.
3. Objectif(s) poursuivi(s) par le traitement (Finalités)
Le traitement mis en œuvre doit répondre à un objectif précis et être justifié au regard des missions et des activités de l'organisme.
En ce qui concerne le dispositif d'alerte, le traitement de données est mis en œuvre afin de recueillir et traiter les alertes ou signalements visant à révéler un manquement à une règle spécifique.
Exemple 1.1 (alertes de l'article 8 de la Loi « Sapin 2 ») :
Un dispositif d'alerte mis en œuvre pour répondre aux exigences de l'article 8.III de la loi « Sapin 2 » vise à permettre aux « membres du personnel et aux collaborateurs extérieurs et occasionnels » d'un organisme, de signaler :
- un crime ou délit ;
- une violation grave et manifeste d'un engagement international régulièrement ratifié ou approuvé par la France ;
- une violation grave et manifeste d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un engagement international régulièrement ratifié ;
- une violation grave et manifeste de la loi ou du règlement ;
- une menace ou préjudice graves pour l'intérêt général, dont l'émetteur de l'alerte a eu personnellement connaissance.
Exemple 1.2 (lutte contre la corruption et le trafic d'influence) :
Un dispositif d'alerte mis en œuvre pour répondre aux exigences de l'article 17.II.2° de la loi « Sapin 2 », vise à permettre le recueil des signalements émanant des « employés » de l'organisme concerné et relatifs à l'existence de conduites ou de situations contraires au code de conduite de la société et susceptibles de caractériser des faits de corruption ou de trafic d'influence.
Exemple 1.3 (devoir de vigilance) :
Un dispositif d'alerte prévu par l'article L. 225-102-4 du Code de commerce, issu de la Loi dite de « devoir de vigilance », aura pour...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI