SYSTÈME D’INFORMATION - 04.06.2020

RGPD et alertes professionnelles : quelles formalités ?

Les alertes professionnelles se sont rapidement développées au gré de dispositions législatives éparses ayant imposé leur mise en place dans des domaines précis. Si la loi « Sapin II » du 09.12.2016 est venue clarifier le système, la mise en œuvre des formalités RGPD adéquates n’en reste pas moins complexe.

Un nécessaire équilibre des données traitées

Un encadrement indispensable. Dans sa récente recommandation relative aux alertes professionnelles (CNIL délib. 2019-139 du 18.07.2019, JO du 10.12) , le régulateur français des données personnelles (CNIL) est venu mettre à jour son ancienne autorisation unique n° 004 devenue caduque lors de l’entrée en application du RGPD (règl. (UE) 2016/679 du PE et du Conseil du 27.04.2016, entré en application le 25.05.2018) . Si l’on y retrouve en substance les mêmes données, est ajouté un important principe de traitement par strates, en fonction des besoins de l’enquête.

À noter. Le RGPD permet désormais aux entreprises de mettre en œuvre en toute autonomie les dispositifs d’alertes professionnelles, sans rechercher l’accord préalable de la CNIL.

En effet, la pertinence des données de la loi 78-17 du 06.01.1978 « Informatique et Libertés », amplifiée en principe de minimisation par le RGPD, impose de ne traiter des données qu’à mesure qu’elles deviennent indispensables. Ainsi, au stade de l’émission de l’alerte doivent être traitées moins de données qu’au stade de l’instruction, ce qui impose la mise en place d’une procédure d’alerte adaptée.

Une sensibilisation doit également être anticipée, considérant qu’un lanceur d’alerte trop expansif influera directement et négativement sur la conformité de cette dernière. L’entreprise qui mettra en place un Dispositif d’Alerte Professionnelle (DAP) par démarche volontaire redoublera d’attention et soignera sa procédure en ce qu’aucun texte de loi ne justifiera la collecte des données.

Bon à savoir. Les recommandations de la CNIL n’ont pas valeur de loi et ne sont pas coercitives. Pour autant, il est recommandé de s’en rapprocher autant que possible, sauf à disposer de solides arguments.

Une vigilance renforcée. En fonction du contexte professionnel, deux catégories de données sensibles pourront être traitées : des données sensibles au sens de l’article 9 du RGPD, c’est-à-dire relatives à l’appartenance ethnique ou raciale, aux opinions politiques, aux convictions religieuses ou philosophiques, à la santé, etc., et des données relatives aux infractions, condamnations et mesures de sûreté.

Or, ces différentes données ne peuvent être traitées que sur obligation légale ou si nécessaire pour la constatation, l’exercice ou la défense d’un droit en justice (RGPD art. 9-f) . Ainsi, en l’absence de texte de loi, le DAP devra prévoir que ces données ne soient collectées que lorsque le besoin en justice est clairement caractérisé. Il apparaît alors qu’une alerte ne peut être mise en œuvre en un trait de temps et nécessite, au contraire, plusieurs saisies.

Une identité à protéger. Un dispositif d’alertes professionnelles peut tantôt imposer ou proposer que l’auteur de l’alerte s’identifie. Contrairement à son habituelle exigence, la CNIL recommande ici de limiter les alertes anonymes afin de minimiser les enquêtes infondées. Le régulateur estime en outre que toute alerte anonyme doit être qualifiée plus sévèrement par son premier destinataire, et être directement rejetée en l’absence d’éléments factuels détaillés à propos de faits à la gravité avérée. Autant de variables à prendre en compte dans le DAP, tout comme l’encadrement des destinataires des alertes : clause de confidentialité pour les salariés, clauses de l’article 28 du RGPD renforcées pour les sous-traitants.

Important. Les habilitations d’accès doivent être documentées et votre système d’informations doit permettre la traçabilité des accès aux différentes alertes et données.

Enfin, le responsable de traitement doit protéger l’identité de l’émetteur de l’alerte et de la personne mise en cause. Sauf à ce que la demande n’émane d’une autorité judiciaire, l’identité du premier ne peut être divulguée qu’avec son consentement, tandis que celle de la seconde doit demeurer secrète jusqu’à ce que soit établi le caractère fondé de l’alerte.

Un devoir de transparence maîtrisée

Un exercice délicat. L’organisme à l’origine d’un DAP, qu’il décide de suivre le référentiel de la CNIL ou non, a l’obligation d’informer toutes les personnes potentiellement concernées par ce mécanisme de ses tenants et aboutissants au titre des articles 12 à 14 du RGPD. Peuvent donc entrer dans cette définition les salariés, les sous-traitants mais aussi les clients qui n’apprécieront probablement pas toujours de faire partie « des suspects ». L’information doit en outre être réalisée en deux temps : avant l’activation du dispositif d’abord, en préférant une information personnelle plutôt que générique si possible, et au moment d’émettre une alerte ensuite.

Dans le cadre d’un DAP concernant les salariés, la consultation des institutions représentatives du personnel paraît indispensable. La personne visée doit, quant à elle, être informée sous un mois, sauf nécessité de l’enquête.

Bon à savoir. L’émetteur d’une alerte, anonyme ou non, doit recevoir un récépissé de dépôt horodaté. L’outil de DAP doit être choisi en conséquence. Ainsi, un outil qui n’enverrait le récépissé que par e-mail interdirait l’anonymat du lanceur d’alerte.

Des droits spécifiques. Dans le cadre d’un DAP, certains droits des personnes s’appliquent de façon singulière. C’est le cas pour le droit d’opposition qui ne peut pas être exercé pour les traitements nécessaires au respect d’une obligation légale, donc qui ne peut être exercé pour un DAP mis en place, par exemple, au titre des articles 8 et/ou 17 de la loi « Sapin II » ou encore au titre de la partie I-4 de l’article L 225-102-4 du Code de commerce (dispositif d’alertes générales). En revanche, lorsqu’un organisme se dote d’un dispositif d’alertes sur une base purement volontaire, le droit d’opposition existe. En conséquence, les personnes concernées devront être informées de son existence, et le responsable du traitement devra veiller à en assurer le respect.

La difficulté réside alors dans le fait que ce droit pourra, au sein d’un même organisme, s’appliquer à certains et non à d’autres, selon que le DAP est imposé par la loi ou volontaire.

Ensuite, le droit de rectification ne peut être exercé que pour rectifier des données factuelles dont l’exactitude matérielle peut être vérifiée par le responsable du traitement, et ce sans que soient effacées les données collectées initialement, à l’opposé de ce qu’impose le RGPD en général.

Enfin la personne visée par une alerte ne peut être privée de ses « droits de la défense » . Un équilibre doit être trouvé, lorsqu’une action contentieuse est enclenchée, entre ce principe et le risque de destruction de preuves.

Une durée de conservation plurale

Une gymnastique à anticiper. Une fois l’alerte dûment lancée selon les règles exposées ci-dessus, il ne sera plus temps de s’interroger sur la durée de conservation de données usuelles et parfois sensibles. Heureusement, le régulateur propose ici un cadre relativement précis et clair : destruction immédiate de l’alerte hors champ du DAP, sous deux mois maximum pour une alerte classée sans suite et destruction au terme du traitement de l’alerte ou de la prescription des recours possibles contre la décision prise en fin de procédure.

Un responsable de traitement avisé choisira le plus souvent de se fier aux durées de prescriptions applicables afin de pouvoir constater d’éventuelles infractions répétées ou continues et de protéger le lanceur d’alerte plus longtemps. Certaines réglementations prévoient toutefois des durées de conservation préfixes.

Un organisme concerné sera tenu de gérer en parallèle différentes durées de conservation et ne pourra pas uniformiser sa gestion. L’outil de DAP devra ainsi être techniquement capable de gérer plusieurs dispositifs de purge en même temps.

Bon à savoir. L’organisme peut conserver indéfiniment des alertes anonymisées et des éléments statistiques. Le caractère anonyme doit être apprécié selon les préconisations de l’avis 05/2014 relatif aux techniques d’anonymisation du Comité Européen de la Protection des Données (CEPD).

Des formalités administratives avancées

Une étude d’impacts requise. En complément de l’inscription au registre des traitements (RGPD, art. 30) , la mise en place d’un dispositif d’alertes professionnelles doit systématiquement donner lieu à la réalisation préalable d’une d’analyse d’impacts relatifs à la protection des données (AIPD). En effet, ces dispositifs figurent dans la liste des types d’opérations de traitement pour lesquelles une telle analyse est obligatoire est requise (CNIL délib. 2018-327 du 11.10.2018) . Ce travail de longue haleine doit être largement anticipé car des plus complexes, et devra impliquer le Délégué à la Protection des Données (DPD) de l’organisme qui aura fort à faire à l’occasion de la mise en œuvre du DAP.

Tout dispositif d’alertes professionnelles comprend de multiples variables devant être anticipées par la mise en place d’une procédure optimale. Le non-respect des conditions de mise en œuvre du DAP expose l’organisme à l’invalidation de ses preuves et la perte de son action contentieuse.

Contact

Éditions Francis Lefebvre | 42 Rue de Villiers, CS50002 | 92532 Levallois Perret Cedex

Tél. : 03 28 04 34 10 | Fax : 03 28 04 34 11

service.clients.pme@efl.fr | pme.efl.fr

SAS au capital de 241 608 € • Siren : 414 740 852
RCS Nanterre • N°TVA : FR 764 147 408 52 • APE : 5814 Z