Modification de l’autorisation unique n° AU-004 encadrant les dispositifs d’alertes professionnelles en application de la « Loi Sapin II »
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Stéphane Bloch, Laurent Badiane, 15/09/2017
Dans deux « K-pratique » mis en ligne le 27 janvier 2014, sous le titre « la protection du lanceur d’alerte, salarié de droit privé ou agent de la fonction publique », puis, plus récemment, le 13 février 2017, sous le titre « La loi SAPIN 2 et les lanceurs d’alerte » nous avions présenté la synthèse des dispositions des lois des 16 avril 2013 , 6 décembre 2013 et 9 décembre 2016 (dite Loi Sapin II) qui avaient consacré dans le Code du travail, mais aussi le statut de la fonction publique, la notion de lanceur d’alerte en organisant sa protection.
Une récente décision de la CNIL nous donne l’occasion d’enrichir le sujet.
Les dispositifs d’alerte professionnelle (ou "whistleblowing") permettent aux salariés de signaler notamment au moyen d’un numéro de téléphone "ligne éthique" ou d’une adresse électronique particulière, des problèmes pouvant sérieusement affecter l’activité de leur entreprise ou engager gravement sa responsabilité . (1)
En raison de la sensibilité des traitements de données personnelles que les dispositifs d’alertes professionnelles impliquent, la CNIL a encadré, dès 2005, ces traitements afin de permettre aux organismes de les instaurer dans le respect des règles relatives à la protection des données personnelles, et de bénéficier d’une procédure d’autorisation simplifiée.
La Délibération de la CNIL n° 2017-191 du 22 juin 2017 « portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle », a été publiée au Journal Officiel, le 26 août 2017 (ci-après la « Délibération ») . (2)
Par cette Délibération, la CNIL modifie l’autorisation unique n° AU-004 qui encadre les dispositifs d’alertes professionnelles (ci-après l’« AU-004 »), afin de prendre en considération les dispositions issues de la loi Sapin II relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
La Loi Sapin II instaure, en effet, un régime commun d’alerte en précisant la procédure à suivre s’agissant des conditions d’émission et de traitement des alertes.
En substance, les modifications apportées à l’AU-004 sont les suivantes :
Les dispositifs d’alerte professionnelle (ou "whistleblowing") permettent aux salariés de signaler notamment au moyen d’un numéro de téléphone "ligne éthique" ou d’une adresse électronique particulière, des problèmes pouvant sérieusement affecter l’activité de leur entreprise ou engager gravement sa responsabilité . (1)
En raison de la sensibilité des traitements de données personnelles que les dispositifs d’alertes professionnelles impliquent, la CNIL a encadré, dès 2005, ces traitements afin de permettre aux organismes de les instaurer dans le respect des règles relatives à la protection des données personnelles, et de bénéficier d’une procédure d’autorisation simplifiée.
La Délibération de la CNIL n° 2017-191 du 22 juin 2017 « portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle », a été publiée au Journal Officiel, le 26 août 2017 (ci-après la « Délibération ») . (2)
Par cette Délibération, la CNIL modifie l’autorisation unique n° AU-004 qui encadre les dispositifs d’alertes professionnelles (ci-après l’« AU-004 »), afin de prendre en considération les dispositions issues de la loi Sapin II relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique.
La Loi Sapin II instaure, en effet, un régime commun d’alerte en précisant la procédure à suivre s’agissant des conditions d’émission et de traitement des alertes.
En substance, les modifications apportées à l’AU-004 sont les suivantes :
Extension du champ d’application de l’AU-004
Avant la Loi Sapin II, l’AU-004 concernait uniquement les dispositifs d’alertes professionnelles permettant aux employés de signaler des problèmes relatifs aux domaines financier, comptable, bancaire et de lutte contre la corruption, aux pratiques anticoncurrentielles, aux discriminations et au harcèlement au travail, à la santé, l’hygiène et la sécurité au travail et à la protection de l’environnement.
Le périmètre de l’autorisation unique AU-004 a été largement étendu par la Loi Sapin II. Elle couvre, désormais, les dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi :
*d’un crime ou délit ;
*d’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
*d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
*d’une violation grave et manifeste de la loi ou du règlement ;
*d’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
o relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l'Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
o relatifs à l'existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.
Les alertes portant sur des faits couverts par le secret de la défense nationale, par le secret médical et par le secret des relations entre un avocat et son client sont néanmoins exclues du champ de l’AU-004.
Le périmètre de l’autorisation unique AU-004 a été largement étendu par la Loi Sapin II. Elle couvre, désormais, les dispositifs d’alertes professionnelles permettant le recueil de tout signalement ou révélation réalisés de manière désintéressée et de bonne foi :
*d’un crime ou délit ;
*d’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
*d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
*d’une violation grave et manifeste de la loi ou du règlement ;
*d’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
o relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l'Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
o relatifs à l'existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.
Les alertes portant sur des faits couverts par le secret de la défense nationale, par le secret médical et par le secret des relations entre un avocat et son client sont néanmoins exclues du champ de l’AU-004.
Ouverture des dispositifs d’alertes professionnelles aux non-salariés
Une alerte professionnelle peut, désormais, être lancée par un salarié de l’organisme ou un collaborateur extérieur et occasionnel. Il est difficile de cerner de façon exhaustive ce que recouvre cette population mais l’on pense bien sûr notamment au personnel sous-traitant effectuant des missions à titre ponctuel ou encore au personnel détaché.
L’expression « collaborateur » signifie toutefois que l’intéressé doit entretenir nécessairement une relation d’ordre professionnel avec l’entreprise, ce qui exclut naturellement un simple témoin, d’un fait ou d’une situation litigieuse, dénué de tout lien avec l’entreprise concernée.
L’expression « collaborateur » signifie toutefois que l’intéressé doit entretenir nécessairement une relation d’ordre professionnel avec l’entreprise, ce qui exclut naturellement un simple témoin, d’un fait ou d’une situation litigieuse, dénué de tout lien avec l’entreprise concernée.
Précisions sur le traitement de l’identité du lanceur d’alerte
L’ancienne version de l’AU-004 prévoyait déjà la nécessité d’identifier l'émetteur de l'alerte professionnelle et de ne pas inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme.
Désormais, il est spécifié que les éléments de nature à identifier l’auteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.
Par ailleurs, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.
Désormais, il est spécifié que les éléments de nature à identifier l’auteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de la personne.
Par ailleurs, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.
Reconnaissance de la validité du « Privacy Shield »
La référence au « Privacy Shield » (3) remplace dorénavant dans l’AU-004 la référence au « Safe Harbor ». (4)
La CNIL permet ainsi le transfert de données hors UE vers les sociétés américaines certifiées, souvent concernées dans la mise en œuvre des procédures d’alerte . (5)
La CNIL permet ainsi le transfert de données hors UE vers les sociétés américaines certifiées, souvent concernées dans la mise en œuvre des procédures d’alerte . (5)
Précisions sur l’information des personnes
L’information doit être fournie à l’ensemble des utilisateurs potentiels du dispositif, à savoir les salariés mais également les collaborateurs extérieurs et occasionnels de l’organisme.
Il est précisé que cette information doit contenir notamment les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions auxquelles les signalements peuvent être adressés à chacun d’entre eux.
Focus sur les formalités à accomplir
Les organismes qui ont déjà accompli des formalités concernant les alertes n’ont en principe aucune démarche à effectuer auprès de la CNIL.
Cependant, ils devront s’assurer de respecter les nouvelles conditions posées par la Délibération. A cet égard, il est fortement recommandé d’auditer les procédures internes afin vérifier la conformité des dispositifs d’alerte au nouveau cadre légal applicable.
La CNIL précise que si aucune formalité n’a été accomplie, les organismes concernés pourront procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d’autorisation spécifique si leur traitement n’est pas conforme à l’AU-004 . (6)
Il est précisé que cette information doit contenir notamment les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions auxquelles les signalements peuvent être adressés à chacun d’entre eux.
Focus sur les formalités à accomplir
Les organismes qui ont déjà accompli des formalités concernant les alertes n’ont en principe aucune démarche à effectuer auprès de la CNIL.
Cependant, ils devront s’assurer de respecter les nouvelles conditions posées par la Délibération. A cet égard, il est fortement recommandé d’auditer les procédures internes afin vérifier la conformité des dispositifs d’alerte au nouveau cadre légal applicable.
La CNIL précise que si aucune formalité n’a été accomplie, les organismes concernés pourront procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d’autorisation spécifique si leur traitement n’est pas conforme à l’AU-004 . (6)
(1) Définition donnée par la CNIL
(2) Cette délibération, publiée au Journal Officiel le 26 août 2017, remplace la version mise en ligne par erreur le 25 juillet 2017
(3) Le « Privacy shield » est entré en vigueur depuis 1er août 2016. Depuis cette date, il est possible de s’y référer pour transférer des données personnelles vers les USA, à condition que les entreprises destinataires des données se soient préalablement inscrites sur le registre tenu par l’administration américaine.
(4) La décision de la Cour de Justice de l’Union Européenne du 6 Octobre 2015 a invalidé le mécanisme d’adéquation du « Safe Habor » permettant le transfert de données vers les Etats-Unis
(5) La loi américaine sur la sécurité financière du 30 juillet 2002, dite « Sarbanes-Oxley », qui a fait suite aux affaires de malversation concernant plusieurs grands groupes américains notamment Enron, avait imposé l’instauration de procédures d’alerte.
(6) Site de la CNIL : Alertes professionnelles : modification de l’autorisation unique n°AU-004
(2) Cette délibération, publiée au Journal Officiel le 26 août 2017, remplace la version mise en ligne par erreur le 25 juillet 2017
(3) Le « Privacy shield » est entré en vigueur depuis 1er août 2016. Depuis cette date, il est possible de s’y référer pour transférer des données personnelles vers les USA, à condition que les entreprises destinataires des données se soient préalablement inscrites sur le registre tenu par l’administration américaine.
(4) La décision de la Cour de Justice de l’Union Européenne du 6 Octobre 2015 a invalidé le mécanisme d’adéquation du « Safe Habor » permettant le transfert de données vers les Etats-Unis
(5) La loi américaine sur la sécurité financière du 30 juillet 2002, dite « Sarbanes-Oxley », qui a fait suite aux affaires de malversation concernant plusieurs grands groupes américains notamment Enron, avait imposé l’instauration de procédures d’alerte.
(6) Site de la CNIL : Alertes professionnelles : modification de l’autorisation unique n°AU-004