Délibération 2010-369 du 14 octobre 2010 : JO du 8 décembre @ texte n° 95
Les entreprises qui souhaitent mettre en place un système d'alerte professionnelle visant les pratiques anticoncurrentielles peuvent se contenter d'adresser à la Cnil un engagement de conformité à l' «autorisation unique » concernant ces dispositifs.
En 2005, la Commission nationale de l'informatique et des libertés (Cnil) a adopté une décision unique d'autorisation pour les traitements de données à caractère personnel mis en oeuvre dans le cadre d'un dispositif d'alerte professionnelle (« whistleblowing ») visant des « faits se rapportant aux domaines financier, comptable, bancaire et à la lutte contre la corruption » (Délibération 2005-305 du 8-12-2005). Le responsable de traitement qui met en oeuvre un dispositif d'alerte professionnelle dans le respect des conditions posées par cette autorisation unique peut se contenter d'adresser à la Cnil un engagement de conformité à cette décision. En revanche, les dispositifs qui ne sont pas conformes à l'autorisation unique, notamment parce qu'ils couvrent d'autres domaines, doivent être autorisés individuellement.
Compte tenu du nombre important d'autorisations individuelles déjà délivrées (90), la Cnil vient de modifier le champ d'application de cette autorisation unique afin d'y inclure les traitements mis en œuvre pour lutter contre les pratiques anticoncurrentielles. A titre transitoire, les responsables de traitements dont la mise en place est régulièrement intervenue avant le 8 décembre 2010 et qui ne respectent pas strictement les conditions posées par l'autorisation unique disposent d'un délai de six mois pour mettre leurs traitements en conformité. à noter
La Cnil définit le dispositif d'alerte professionnelle comme un « système mis à la disposition des employés d'un organisme public ou privé pour les inciter, en complément des modes normaux d'alerte sur les dysfonctionnements de l'organisme, à signaler à leur employeur des comportements qu'ils estiment contraires aux règles applicables et pour organiser la vérification de l'alerte ainsi recueillie au sein de l'organisme concerné » (Délibération du 8-12-2005 précitée). Ce dispositif ne se substitue pas aux autres canaux d'alerte existants (auprès de la hiérarchie, des représentants du personnel, du commissaire aux comptes, d'une autorité publique, etc.) ; il en est complémentaire. Le dispositif d'alerte professionnelle peut, par exemple, prendre la forme d'un numéro de téléphone (« ligne éthique ») ou d'une adresse électronique particulière, qui oriente les alertes vers des personnes spécialement formées. Il organise ensuite, dans un cadre confidentiel, la vérification des faits recueillis et permet à l'employeur de décider, en connaissance de cause, des mesures à prendre pour remédier au dysfonctionnement constaté. Les dispositifs mis en oeuvre sur les lieux de travail peuvent prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d'entraîner des licenciements. Dès lors, de tels dispositifs constituent des traitements relevant de l'article 25-I, 4° de la loi Informatique et libertés du 6 janvier 1978 et doivent, à ce titre, être autorisés par la Cnil.
Auteur : Editions Francis Lefebvre
Pour accéder au site des Editions Francis Lefebvre, cliquez ici
