Alertes professionnelles : modification de l’Autorisation Unique n°AU-004

Voltaire Avocats / Actualités en droit social  / Alertes professionnelles : modification de l’Autorisation Unique n°AU-004

Alertes professionnelles : modification de l’Autorisation Unique n°AU-004

 En 2005, la CNIL a adopté une Autorisation unique n°AU-004 fixant les conditions dans lesquelles les dispositifs d’alerte professionnelle pouvaient être considérés comme licites du point de vue de la protection des données personnelles. Une déclaration de conformité au cadre défini par la CNIL est dès lors suffisante.

 

Cette Autorisation unique AU-004 a été plusieurs fois amendée et permettait, en dernier lieu, de signaler des manquements relatifs aux domaines financiers, comptables, bancaires et de lutte contre la corruption, aux pratiques anticoncurrentielles, aux faits de discrimination et de harcèlement au travail, à la santé, l’hygiène et la sécurité au travail et à la protection de l’environnement.

 

Il n’était toutefois pas possible de se prévaloir de cette Autorisation unique pour la mise en place de la procédure de recueil des alertes issue de la loi Sapin II.

 

La Cnil a donc modifié l’Autorisation unique AU-004.

 

Par la délibération n°2017-191 du 22 juin 2017 (publiée au Journal Officiel le 25 juillet 2017), la CNIL a notamment étendu le champ d’application de l’autorisation unique AU-004.

Le champ de l’AU-004 est délimité non plus par rapport aux domaines concernés par les alertes mais par rapport à la nature des manquements signalés.

Peuvent faire l’objet d’un engagement de conformité à l’AU-004, les traitements automatisés de données à caractère personnel ayant pour finalité le traitement des alertes relatives à :

 

  • un crime ou un délit ;
  • une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;
  • une violation grave et manifeste de la loi ou du règlement ;
  • ou une menace ou un préjudice graves pour l’intérêt général, dont l’émetteur de l’alerte a eu personnellement connaissance.

 

Sont également couverts par la décision unique :

 

  • les traitements automatisés de données à caractère personnel mis en œuvre par un organisme pour le recueil de signalements, émanant de ses personnels, relatifs aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
  • les traitements automatisés de données à caractère personnel mis en œuvre par un organisme pour le recueil de signalements, émanant d’employés, relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

 

Sont exclues du champ de cette autorisation les alertes portant sur des faits couverts par le secret de la défense nationale, par le secret médical et par le secret des relations entre un avocat et son client.

La délibération de la CNIL du 22 juin 2017 a apporté d’autres modifications à l’AU-004. A noter notamment que :

 

  • Des personnes ne faisant pas partie du personnel peuvent désormais être des lanceurs d’alerte (la délibération de la CNIL vise « des collaborateurs extérieurs et occasionnels de l’organisme ayant mis en place le dispositif »)
  •  
  • Les éléments de nature à identifier l’émetteur de l’alerte ne peuvent être divulgués, sauf à l’autorité judiciaire et seulement avec le consentement de la personne.
  •  
  • Les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire et une fois établi le caractère fondé de l’alerte.

 

  • L’information concernant le traitement des données personnelles mis en œuvre doit être fournie à tout utilisateur potentiel du dispositif, y compris aux collaborateurs extérieurs. Elle devra notamment contenir les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions dans lesquelles les signalements peuvent être adressés.

 

Pour mémoire, au 1er janvier 2018, les entreprises d’au moins 50 salariés devront avoir mis en place une procédure de recueil des alertes.

 

Nous restons bien sûr à votre disposition pour vous accompagner dans la mise en place d’un tel dispositif.

https://www.legifrance.gouv.fr/affichTexte.do;jsessionid=857BB1BACDAD95675683279A1A32E7E6.tpdila17v_2?cidTexte=JORFTEXT000035268495&dateTexte=&oldAction=rechJO&categorieLien=id&idJO=JORFCONT000035268151