A la fin de l’année 2010, la CNIL a modifié le texte de l’autorisation unique n°AU-004 de 2005 sur les alertes professionnelles concernant les domaines dans lesquels ce type d’alerte peut être donnée. Elle y a ajouté les traitements mis en œuvre pour lutter contre les pratiques anticoncurrentielles, mais surtout avait apporté une clarification restreignant strictement le domaine des alertes [1].

Les sociétés qui désirent mettre en placer un dispositif d’alerte sur d’autres domaines que ceux listés limitativement dans l’autorisation unique doivent utiliser la procédure d’autorisation normale, mais surtout justifier de la légitimité des domaines supplémentaires demandés, tout en respectant les recommandations de la CNIL de 2005. Il semblait difficile d’arriver à convaincre la CNIL d’accepter des systèmes n’entrant pas dans le champ de l’autorisation unique.

Ce constat donne une portée importante à la décision de la CNIL d’autoriser pour la première fois le 3 mars dernier deux sociétés, Randstadt et Casino Services, à mettre en place un tel dispositif en matière de lutte contre les discriminations. La portée est d’autant plus grande que la CNIL a choisi de commenter la décision dans sa lettre d’information (www.cnil.fr/la-cnil/actu-cnil/article/article/les-dispositifs-dalerte-professionnelle-au-service-de-la-lutte-contre-les-discriminations)

Cependant, il est à noté que l’autorisation a été donnée dans un contexte législatif particulier, qui fournit justement une légitimité à cette demande.

En effet, un décret du 17 décembre 2008 recommande aux organismes souhaitant obtenir le label diversité de mettre en place des outils permettant d’assurer la traçabilité des salariés victimes de discriminations, notamment par la mise en place d’un dispositif d’alerte professionnelle dédié aux plaintes et réclamations en matière de discriminations.

Ainsi, la CNIL a autorisé les deux sociétés souhaitant obtenir le label diversité, à mettre en œuvre des dispositifs d’alerte professionnelle en matière de discriminations, après avoir vérifié les garanties mises en œuvre pour la protection des libertés et notamment :

• l’obligation pour le donneur d’alerte de s’identifier (pas d’alertes anonymes) ;

• l’information des salariés sur les finalités du dispositif, les personnes habilités à traiter les alertes, ainsi que leurs droits d’accès et de rectification;

• le caractère facultatif et complémentaire du dispositif (pas d’obligation pour les salariés d’utiliser le dispositif d’alerte) ;

• le traitement confidentiel de l’identité du donneur d’alerte ;

• la conservation limitée des données ; et

• les mesures de sécurité (confidentialité des informations et traçabilité des accès).

Suite à cette décision il est à espérer que la CNIL accordera des autorisations pour la mise en place d’alertes dans d’autres domaines, pour autant que l’employeur puisse en démontrer la légitimité.

________________________________________________________________________________________

[1] Voir notre article intitulé « Alertes Professionnelles: extension et clarification par la CNIL du domaine d’application de l’autorisation unique » du 13 décembre 2010