Lorsqu’un employeur met en place un dispositif d’alerte professionnelle supposant le traitement automatisé de données personnelles (identité, fonction et coordonnées de l’émetteur de l’alerte, personnes visées par celle-ci, etc.), il doit effectuer des formalités préalables auprès de la Commission nationale de l’informatique et des libertés (Cnil).
Rappel : ces alertes effectuées, en pratique, par téléphone ou courriel dédié ou via un site intranet permettent aux salariés de signaler des comportements qu’ils considèrent contraires à la règlementation applicable, notamment en matière de santé et sécurité au travail.
Il y a presque 10 ans, la Cnil a instauré une autorisation unique pour les traitements de données à caractère personnel qui sont utilisés dans le cadre de dispositifs d’alerte professionnelle : l’autorisation unique AU-004.
Important : lorsqu’un traitement de données entre dans le champ d’application d’une autorisation unique, le responsable du traitement n’a pas à faire de demande d’autorisation préalable. En effet, il transmet, à la Cnil, un simple engagement de conformité à l’autorisation unique.
Jusqu’à présent, cette autorisation unique ne visait que les alertes qui concernaient les domaines financier, comptable et bancaire, la lutte contre la corruption et les pratiques anticoncurrentielles.
Constatant qu’elle était saisie de nombreuses demandes d’autorisation ne rentrant pas dans le champ d’application de l’autorisation AU-004, la Cnil a élargi les domaines visés. Ainsi, désormais, sont aussi concernées par cette autorisation les alertes visant la protection de l’environnement, la lutte contre les discriminations et le harcèlement au travail ainsi que la santé, l’hygiène et la sécurité au travail. Tous les dispositifs d’alerte qui sont instaurés dans d’autres domaines que ceux mentionnés dans cette autorisation devant donc continuer à faire l’objet d’une autorisation spécifique.
Par ailleurs, jusqu‘alors, seules les alertes répondant à une obligation législative ou réglementaire française ou bien à certaines législations étrangères (loi américaine « Sarbanes-Oxly » et loi japonaise « Japanese Sox ») pouvaient faire l’objet d’un engagement de conformité sur le fondement de l’autorisation AU-004. Nouveauté instaurée par la Cnil, l’alerte peut aussi désormais donner lieu à un simple engagement de conformité lorsqu’elle répond à un intérêt légitime (législation étrangère, code de gouvernance, label, etc.).
Enfin, la Cnil a clarifié les garanties relatives au traitement des alertes anonymes. En principe, l’émetteur de l’alerte professionnelle doit s’identifier, son identité étant ensuite traitée de façon confidentielle. Cependant, par exception, une personne peut rester anonyme à deux conditions :
- la gravité des faits invoqués est établie et les éléments factuels sont suffisamment détaillés ;
- et le traitement de l’alerte s’entoure de précautions particulières.