La loi n° 2016-1691 du 9 décembre 2016, relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique - dite loi « Sapin II » - renforce sensiblement les obligations des entreprises en matière de lutte contre la corruption.
Parmi les mesures adoptées, la loi « Sapin II » impose aux entreprises employant au moins 500 salariés (ou appartenant à un groupe de sociétés dont la mère a son siège social en France et comprend au moins 500 salariés) et dont le chiffre d’affaires dépasse 100 millions d’euros, la mise en place, à échéance du 1er juin 2017, d’un dispositif d’alerte professionnelle (« whistleblowing ») (L. n° 2016-1691, art. 17).
L’occasion de revenir sur un dispositif strictement encadré par la Commission Nationale de l’Informatique et des Libertés (CNIL), en raison du caractère personnel des données recueillies.
1. Aux termes d’une délibération n° 2005-305 du 8 décembre 2005, portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, la CNIL a adopté une décision unique d’autorisation, comme l’y autorise l’article 25, II, de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
Sur le fondement de cette « autorisation unique » n°AU-004, les entreprises ont ainsi la faculté de mettre en place un dispositif d’alerte professionnelle, notamment lorsqu’il s’agit de répondre à une obligation législative ou réglementaire de droit français visant à l’établissement de procédures de contrôle interne dans les domaines financier, comptable, bancaire et de la lutte contre la corruption.
L’obligation de mise en place d’un dispositif d’alerte professionnelle instaurée par la loi Sapin II pour certaines entreprises s’inscrit donc pleinement dans ce cadre.
Sur le plan pratique, cette mise en place suppose d’adresser à la CNIL un « engagement de conformité » au cadre posé par l’autorisation unique n° AU-004. Une fois cet engagement adressé à la CNIL, le dispositif peut être mis en œuvre.
2. L’autorisation unique n° AU-004 ne peut toutefois servir de fondement à l’établissement d’un dispositif d’alerte professionnelle que si ce dispositif :
- a pour finalité, notamment, la lutte contre la corruption ;
- respecte les conditions de traitement de l’identité de l’émetteur de l’alerte, à savoir que :
- l’émetteur doit s’identifier mais son identité est traitée de façon confidentielle ;
- l’organisme ne doit pas inciter les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme. Par exception, l’alerte d’une personne qui souhaite rester anonyme peut être traitée sous certaines conditions précisées par l’autorisation unique AU-004 ;
- se borne à recueillir les catégories de données à caractère personnel dans la limite de celles énumérées par l’autorisation unique AU-004.
A cet égard, les faits recueillis doivent être strictement limités aux domaines concernés par le dispositif d’alerte professionnelle, qui ne doit s’appuyer que sur des données formulées de manière objective, et strictement nécessaires à la vérification des faits allégués ;
- limite strictement la liste des destinataires des données à caractère personnel recueillies à ceux fixés par l’autorisation unique AU-004 ;
- respecte les conditions de durée de conservation des données recueillies, à savoir que :
- les données n’entrant pas dans le champ du dispositif sont détruites ou archivées sans délai ;
- lorsque l’alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, les données sont détruites ou archivées dans un délai de deux mois à compter de la clôture des opérations de vérification ;
- lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, sont conservées jusqu’au terme de la procédure ;
- une information claire et complète des utilisateurs potentiels du dispositif d’alerte est réalisée ;
- la personne faisant l’objet d’une alerte professionnelle doit en être informée, afin de lui permettre de s’opposer au traitement des données la concernant ;
- le responsable du dispositif d’alerte garantit à toute personne identifiée dans le dispositif d’alerte professionnelle le droit d’accéder aux données la concernant et d’en demander, si elles sont inexactes, incomplètes, équivoques ou périmées, la rectification ou la suppression.
Mais la personne qui fait l’objet d’une alerte ne peut pas obtenir communication, sur le fondement de son droit d’accès, des informations concernant l’identité de l’émetteur de l’alerte.
En outre, le transfert des données recueillies en dehors de l’Union européenne doit donner lieu à la conclusion de Clauses Contractuelles Types ou de Règles contraignantes d’entreprises ("Binding Corporate Rules" / "BCR"), ou à l’adhésion au mécanisme du "Privacy Shield", pour les transferts vers les États-Unis.
3. Enfin, si le dispositif sort du cadre fixé par l’autorisation unique n° AU-004, l’entreprise devra alors adresser à la CNIL une demande d’autorisation.
