Le référentiel « alertes professionnelles » de la CNIL a pour objet d’aider les acteurs publics et privés à se mettre en conformité RGPD pour ce qui concerne le recueil et le traitement des alertes professionnelles. Non contraignant, il n’en constitue pas moins une ressource (très) utile, les recommandations qu’il contient étant de nature à apporter des réponses à plusieurs interrogations pratiques.
La CNIL a ouvert une consultation publique pour faire remonter des retours terrain, avant l’adoption de la version définitive du document. Le sujet de l’externalisation et de la mutualisation du traitement des alertes a suscité - et suscite toujours - des interrogations. Faisons le point.
1. Externalisation et mutualisation du recueil et du traitement des alertes.
1.1. Les dispositions réglementaires applicables à l’externalisation des alertes.
L’article 7 du décret du 3 octobre 2022 est relatif à l’externalisation et à la mutualisation du recueil / traitement des alertes.
Plus précisément, il prévoit deux choses :
- Une possible externalisation du recueil des alertes (« canal de réception des alertes (…) géré pour son compte en externe par un tiers ») par toute entité visée à l’article 8, I, B modifié de la loi Sapin II (personnes morales de droit privé et entreprises en nom propre (personnes physiques) d’au moins 50 salariés ; personnes morales de droit public ; administrations de l’État ; autres entités relevant du champ d’application de la Directive UE de 2019) ;
- Une possible externalisation/mutualisation du recueil et du traitement (« canal de réception (…) et évaluation de l’exactitude des allégations formulées ») des alertes par les entités visées à l’article 8, I, B, 3° (personnes morales de droit privé et les entreprises exploitées en leur nom propre par une ou plusieurs personnes physiques), de moins de 250 salariés.
1.2. L’interprétation de l’article 7 du décret Waserman.
L’interprétation littérale du texte conduit à une distinction entre la réception des alertes et leur traitement, avec les conséquences suivantes :
- Possibilité large d’externaliser le recueil des alertes (au sens de l’article 4, I du décret : faisable pour toutes les entités concernées, auprès d’ « une personne physique ou une entité de droit privé ou publique dotée ou non de la personnalité morale » ;
- Possibilité restreinte d’externaliser le traitement des alertes (« évaluation de l’exactitude des allégations formulées dans le signalement ») et de mutualiser (« ressources partagées ») : faisable uniquement pour les personnes morales de droit privé de moins de 250 salariés (+ entreprises exploitées en leur nom propre par une ou plusieurs personnes physiques de moins de 250 salariés). A contrario, l’externalisation du traitement et la mutualisation seraient impossible pour toutes les autres entités.
2. Divergences d’interprétation du texte.
2.1. Interprétations de la CNIL (projet de référentiel)
Avant de mettre à jour son référentiel, la CNIL a soumis le projet des modifications à une consultation publique et invité toute personne ou organisme qui le souhaitait, à formuler des observations et soumettre des propositions concernant le projet, ou effectuer un retour d’expérience concernant le référentiel existant.
Les recommandations relatives à la question de l’externalisation et de la mutualisation n’ont pas été intégrées à la pré-version du référentiel accessible sur le site de la Commission. Elles ont en revanche été explicitement envisagées dans le questionnaire de consultation.
Adoptant la lecture littérale du texte évoquée précédemment, le questionnaire de consultation mentionnait ceci :
« Les paragraphes 48 et 49, ainsi que 53 à 57 du référentiel [NdlR : points non intégré dans la version du pré-référentiel accessible sur le site de la CNIL] concernent le recours à des prestataires externes pour la réception des signalements et leur traitement. L’article 7 du décret d’application de la loi Waserman limite désormais les possibilités d’externalisation et de mutualisation des dispositifs d’alerte. »
Prolongeant la démarche collaborative de la CNIL, nous avions relayé ce point d’interprétation du texte. Avec l’accord des équipes de la Commission, nous avions partagé avec vous la documentation afférente (voir en fin d’article).
2.2. Interprétation de l’AFA-PNF
L’approche stricte est également celle qui ressort du dernier guide pratique de l’AFA et du PNF sur les enquêtes internes anticorruption [4] :
« La loi Waserman du 21 mars 2022 permet aux entités de moins de 250 salariés de mutualiser leurs procédures de recueil et de traitement des signalements sous réserve d’une décision concordante des organes compétents de chaque entité. Pour les autres entités, il est possible d’externaliser le canal de réception des alertes auprès d’un tiers, sans préjudice du traitement de l’alerte à son niveau. »
2.3. Interprétation du CNB
Dans un courrier adressé à la présidente de la CNIL le 8 juin 2023, le Conseil National des Barreaux (CNB) s’inquiète de l’interprétation limitant (voire excluant) la possibilité d’externaliser et de mettre en commun le traitement (et non pas seulement le recueil) des alertes professionnelles.
Les avocats s’interrogent : « Nous serions très heureux de connaître le raisonnement qui vous amène à cette conclusion. »
Et, ce, d’autant que :
- « selon [leur] lecture des textes, rien ne s’[y] oppose » ;
- la faculté d’externaliser est prévue par la Directive 2019/1937 du 23 octobre 2019 ;
- les travaux parlementaires en font état.
3. Référentiel RGPD-DAP mis à jour (07/2023) : la CNIL botte en touche !
Dans la version actualisée du référentiel, rendue publique le 24 juillet 2023, la CNIL adopte une position intermédiaire et se concentre sur les aspects de pure conformité RGPD (responsable de traitement), en trois temps.
a) une interprétation souple :
« 49. les différentes règles encadrant les différents dispositifs d’alertes spécifiques prévoient la possibilité, pour l’organisme mettant en place un DAP, de déléguer la totalité ou une partie des opérations de traitements des alertes, à des entités tierces. »
Une chose est certaine :
« L’externalisation des canaux de réception des signalements apparaît largement ouverte à l’ensemble des organismes concernés par l’obligation de mettre en place un DAP : ils peuvent donc déléguer cette fonction à un tiers tel qu’un cabinet d’avocat, une plateforme spécialisée, ou un fournisseur de services de messagerie électronique. Les fonctions déléguées peuvent couvrir la réception de l’alerte (quelle qu’en soit la forme), mais aussi l’enregistrement d’un échange téléphonique ou audiovisuel en vue de sa transcription, sa consignation dans un procès-verbal, l’analyse initiale de la recevabilité de l’alerte et, enfin, l’émission du récépissé à destination de l’auteur du signalement. »
b) une marche arrière prudente :
« 50. Le présent référentiel n’a pas vocation à interpréter de telles dispositions, et se borne à rappeler aux organismes mettant en place un DAP les règles en matière de protection des données à caractère personnel devant être respectées dès lors que le traitement des données afférent est effectué sous la responsabilité conjointe de deux ou plusieurs organismes, ou est confié à un ou plusieurs sous-traitants. »
Approche que l’on retrouve dans la FAQ dédiée :
« Il n’appartient cependant pas à la CNIL d’interpréter ce nouveau texte, notamment sur le point de savoir si sa rédaction est compatible avec la délégation pure et simple de l’ensemble des opérations de traitement d’un signalement, à un prestataire extérieur (plateforme en ligne, un cabinet d’avocats, etc.), pour telle ou telle catégorie d’acteurs (notamment des sociétés membres d’un groupe). »
c) une responsabilisation des organisations :
« 51. En toute hypothèse, il appartient à l’organisme souhaitant déléguer une partie des opérations liées à la réception ou traitement des signalements, de mener une analyse de faisabilité juridique de cette délégation. »
Approche que l’on retrouve dans la FAQ dédiée :
« Dans ces conditions, chaque organisme doit s’assurer de la faisabilité juridique de ses projets éventuels de délégation, externalisation ou sous-traitance du traitement des alertes, en fonction de sa situation ainsi que des termes des accords proposés ou conclus avec des prestataires des services de traitement d’alerte. »
Quelle que soit la position adoptée par la CNIL, la question de l’interprétation et de l’article 7 du décret et son éventuelle analyse littérale n’est pas réglée et semble de plus en plus éloignée de la pratique et des usages établis… Rédaction imparfaite du décret, qu’il conviendrait donc de clarifier ? Volonté de restreindre les possibilités d’externalisation ? La question est (encore) ouverte !
Documentation liée au projet de référentiel :
- Pré-projet_Référentiel CNIL_Alertes professionnelles
- Questionnaire_Référentiel CNIL_Alertes professionnelles
