Délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle (décision d'autorisation unique n° AU-004)
| Jurisdiction | France |
| Publication au Gazette officiel | JORF n°3 du 4 janvier 2006 |
| Record Number | JORFTEXT000000264462 |
| Date de publication | 04 janvier 2006 |
| Court | COMMISSION NATIONALE DE L'INFORMATIQUE ET DES LIBERTES |
| Enactment Date | 08 décembre 2005 |
La Commission nationale de l'informatique et des libertés,
Vu la convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004, relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, et notamment son article 25-I (4°) et II ;
Vu le document d'orientation relatif aux dispositifs d'alerte professionnelle adopté par la commission le 10 novembre 2005, annexé à la présente décision ;
Après avoir entendu M. Alex Türk, président, en son rapport, et Mme Pascale Compagnie, commissaire du Gouvernement, en ses observations,
Un dispositif d'alerte professionnelle est un système mis à la disposition des employés d'un organisme public ou privé pour les inciter, en complément des modes normaux d'alerte sur les dysfonctionnements de l'organisme, à signaler à leur employeur des comportements qu'ils estiment contraires aux règles applicables et pour organiser la vérification de l'alerte ainsi recueillie au sein de l'organisme concerné.
Constate que les dispositifs d'alerte professionnelle (« whistleblowing ») mis en oeuvre sur les lieux de travail peuvent prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d'exclure des personnes du bénéfice de leur contrat de travail en l'absence de toute disposition législative ou réglementaire.
Dès lors, de tels dispositifs constituent des traitements relevant de l'article 25-I (4°) de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la commission peut adopter une décision unique d'autorisation pour des traitements répondant notamment aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques.
Le responsable de traitement mettant en oeuvre un dispositif d'alerte professionnelle dans le respect des dispositions de cette décision unique adresse à la commission un engagement de conformité à la présente autorisation.
Décide que les responsables de traitement qui adressent à la commission une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en oeuvre ces traitements.
Finalités du traitement.
Seuls peuvent faire l'objet d'un engagement de conformité par référence à la présente décision unique les traitements mis en oeuvre par les organismes publics ou privés dans le cadre d'un dispositif d'alerte professionnelle répondant à une obligation législative ou réglementaire de droit français visant à l'établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption.
Conformément à l'article 7 (5°) de la loi du 6 janvier 1978 modifiée, les traitements mis en oeuvre dans les domaines comptable et d'audit par les entreprises concernées par la section 301 (4) de la loi américaine dite « Sarbanes-Oxley » de juillet 2002 entrent également dans le champ de la présente décision.
Traitement de l'identité de l'émetteur de l'alerte.
L'émetteur de l'alerte professionnelle doit s'identifier mais son identité est traitée de façon confidentielle par l'organisation chargée de la gestion des alertes.
Cette organisation ne peut recueillir, par exception, l'alerte d'une personne qui souhaite rester anonyme qu'aux conditions suivantes :
- le traitement de cette alerte doit s'entourer de précautions particulières, telles qu'un examen préalable, par son premier destinataire, de l'opportunité de sa diffusion dans le cadre du dispositif ;
- l'organisme n'incite pas les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l'existence du dispositif en tient compte. Au contraire, la procédure est conçue de façon que les employés s'identifient auprès de l'organisation chargée de la gestion des alertes.
Catégories de données à caractère personnel enregistrées.
Seules les catégories de données suivantes peuvent être traitées :
- identité, fonctions et coordonnées de l'émetteur de l'alerte professionnelle ;
- identité, fonctions et coordonnées des personnes faisant l'objet d'une alerte ;
- identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l'alerte ;
- faits signalés ;
- éléments recueillis dans le cadre de la vérification des faits signalés ;
- compte rendu des opérations de vérification ;
- suites données à l'alerte.
Les faits recueillis sont strictement limités aux domaines concernés par le dispositif d'alerte. Des faits qui ne se rapportent pas à ces domaines peuvent toutefois être communiqués aux personnes compétentes de l'organisme concerné lorsque l'intérêt vital de cet organisme ou l'intégrité physique ou morale de ses employés est en jeu.
La prise en compte de l'alerte professionnelle ne s'appuie que sur des données formulées de manière objective, en rapport direct avec le champ du dispositif d'alerte et strictement nécessaires à la vérification des faits allégués. Les formulations utilisées pour décrire la nature des faits signalés font apparaître leur caractère présumé.
Destinataires des données à caractère personnel.
Les personnes spécialement chargées, au sein de l'organisme concerné, du recueil ou du traitement des alertes professionnelles ne sont destinataires de tout ou partie des données visées à l'article 3 que dans la mesure où ces données sont nécessaires à l'accomplissement de leurs missions.
Ces données peuvent être communiquées aux personnes spécialement chargées de la gestion des alertes professionnelles au sein du groupe de sociétés auquel appartient l'organisme concerné si cette communication est nécessaire à la vérification de l'alerte ou résulte de l'organisation du groupe.
S'il est fait recours à un prestataire de services pour recueillir ou traiter les alertes, les personnes spécialement chargées de ces missions au sein de l'organisme prestataire de services n'accèdent à tout ou partie des données visées à l'article 3 que dans la limite de leurs attributions respectives. Le prestataire de services éventuellement désigné pour gérer tout ou partie de ce dispositif s'engage notamment, par voie contractuelle, à ne pas utiliser les données à des fins détournées, à assurer leur confidentialité, à respecter la durée de conservation limitée des données et à procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés de données à caractère personnel au terme de sa prestation.
Dans tous les cas, les personnes chargées du recueil et du traitement des alertes professionnelles sont en nombre limité...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI