Alertes professionnelles : modification de l’autorisation unique n°AU-004
RSS CNIL - , 24/02/2014
La CNIL inclut les domaines du droit de l’environnement, de la lutte contre les discriminations, de la santé, de l'hygiène et de la sécurité au travail dans le champ de son autorisation unique relative aux alertes professionnelles.
A la suite des modifications de l’AU-004 apportées en 2010, les dispositifs d'alerte couverts par cette autorisation unique devaient « répondre à une obligation législative ou réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption ».
A défaut d’obligation légale de droit français, la Commission avait estimé que les responsables de traitement avaient un intérêt légitime à mettre en œuvre des dispositifs dans les domaines précités lorsqu’ils étaient concernés par la section 301(4) de la loi américaine dite «Sarbanes-Oxley» du 31 juillet 2002, ou par la loi japonaise « Financial Instrument and exchange Act » du 6 juin 2006 dite « Japanese SOX ». Par ailleurs, la Commission avait étendu le champ d’application à la lutte contre les pratiques anticoncurrentielles.
Les entreprises qui ne pouvaient pas se prévaloir d’un de ces textes devaient nécessairement adresser une demande d’autorisation spécifique à la CNIL.
Entre 2011 et 2013, la CNIL a traité près d’une soixantaine de demandes d’autorisations spécifiques :
L’AU-004 prévoit désormais que pour bénéficier d’un engagement de conformité à l’AU-004, les organismes doivent répondre aux 2 conditions suivantes :
1. Les alertes sont limitées aux domaines suivants :
2. Les alertes doivent répondre à une obligation légale ou à un intérêt légitime.
Le principe d’identification de l’émetteur de l’alerte
La Commission a toujours rappelé la nécessité d’identifier les personnes auteurs d’un signalement. Elle réaffirme sa position concernant le traitement des alertes anonymes et clarifie la rédaction de l’article 2 de l’AU-004. En effet, l’identification de l’émetteur est perçue comme facteur de responsabilisation des utilisateurs du dispositif en ce qu’elle permet d'éviter des dérapages vers la délation et la dénonciation calomnieuse, d'organiser la protection de l'auteur de l'alerte contre d'éventuelles représailles et d’assurer un meilleur traitement de l'alerte en ouvrant la possibilité de demander à son auteur des précisions complémentaires.
« L'émetteur de l'alerte professionnelle doit s'identifier mais son identité est traitée de façon confidentielle par l'organisation chargée de la gestion des alertes.
L'organisme ne doit pas inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme. »
Les garanties relatives au traitement exceptionnel des alertes anonymes
Si le droit commun demeure l’identification de l’émetteur de l’alerte, il est possible, par exception, de procéder à une alerte en restant anonyme. La nouvelle rédaction clarifie ce point dans les termes suivants :
« Par exception, l'alerte d'une personne qui souhaite rester anonyme peut-être traitée sous les conditions suivantes :
Il n'est pas nécessaire de procéder à une nouvelle déclaration de conformité à l'AU-004 si le périmètre du dispositif d'alerte professionnelle respecte le nouveau champ défini par la CNIL.
A défaut d’obligation légale de droit français, la Commission avait estimé que les responsables de traitement avaient un intérêt légitime à mettre en œuvre des dispositifs dans les domaines précités lorsqu’ils étaient concernés par la section 301(4) de la loi américaine dite «Sarbanes-Oxley» du 31 juillet 2002, ou par la loi japonaise « Financial Instrument and exchange Act » du 6 juin 2006 dite « Japanese SOX ». Par ailleurs, la Commission avait étendu le champ d’application à la lutte contre les pratiques anticoncurrentielles.
Les entreprises qui ne pouvaient pas se prévaloir d’un de ces textes devaient nécessairement adresser une demande d’autorisation spécifique à la CNIL.
Entre 2011 et 2013, la CNIL a traité près d’une soixantaine de demandes d’autorisations spécifiques :
- relatives à des domaines n’entrant pas dans le champ d’application de l’AU-004 (discrimination, harcèlement au travail, santé, hygiène et sécurité, environnement) ;
- ou dans les domaines financier, comptable, bancaire et de la lutte contre la corruption alors même que le responsable ne pouvait pas se prévaloir d’une obligation législative ou réglementaire de droit français.
- d’autres lois étrangères (ex : UK Bribery Act) ;
- des codes de gouvernance d’entreprise de sociétés cotées en bourse (renforcement des mesures de contrôle interne pour prévenir la fraude) ;
- des labels, tel que le label diversité de l’AFNOR qui prévoit la mise en place de dispositifs d’alerte en matière de lutte contre les discriminations .
Quels sont désormais les domaines couverts par l’AU-004 et sous quelles conditions ?
L’AU-004 prévoit désormais que pour bénéficier d’un engagement de conformité à l’AU-004, les organismes doivent répondre aux 2 conditions suivantes :
1. Les alertes sont limitées aux domaines suivants :
- financier, comptable, bancaire et de la lutte contre la corruption ;
- pratiques anticoncurrentielles ;
- lutte contre les discriminations et le harcèlement au travail ;
- santé, hygiène et sécurité au travail ;
- protection de l’environnement.
2. Les alertes doivent répondre à une obligation légale ou à un intérêt légitime.
Le principe d’identification de l’émetteur de l’alerte
La Commission a toujours rappelé la nécessité d’identifier les personnes auteurs d’un signalement. Elle réaffirme sa position concernant le traitement des alertes anonymes et clarifie la rédaction de l’article 2 de l’AU-004. En effet, l’identification de l’émetteur est perçue comme facteur de responsabilisation des utilisateurs du dispositif en ce qu’elle permet d'éviter des dérapages vers la délation et la dénonciation calomnieuse, d'organiser la protection de l'auteur de l'alerte contre d'éventuelles représailles et d’assurer un meilleur traitement de l'alerte en ouvrant la possibilité de demander à son auteur des précisions complémentaires.
« L'émetteur de l'alerte professionnelle doit s'identifier mais son identité est traitée de façon confidentielle par l'organisation chargée de la gestion des alertes.
L'organisme ne doit pas inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme. »
Les garanties relatives au traitement exceptionnel des alertes anonymes
Si le droit commun demeure l’identification de l’émetteur de l’alerte, il est possible, par exception, de procéder à une alerte en restant anonyme. La nouvelle rédaction clarifie ce point dans les termes suivants :
« Par exception, l'alerte d'une personne qui souhaite rester anonyme peut-être traitée sous les conditions suivantes :
- la gravité des faits mentionnés est établie et les éléments factuels sont suffisamment détaillés ;
- le traitement de cette alerte doit s'entourer de précautions particulières, telles qu'un examen préalable, par son premier destinataire, de l'opportunité de sa diffusion dans le cadre du dispositif. »
Quelle formalité accomplir ?
Il n'est pas nécessaire de procéder à une nouvelle déclaration de conformité à l'AU-004 si le périmètre du dispositif d'alerte professionnelle respecte le nouveau champ défini par la CNIL.