Délibération n° 2017-191 du 22 juin 2017 de la CNIL

Comme cela était attendu, la CNIL a été amenée à modifier de façon significative son autorisation unique sur les alertes professionnelle (AU-004) à la suite des changements introduits par la loi Sapin 2 (voir notre article « Loi Sapin II – protection des lanceurs d’alerte ») et le décret d’application n° 2017-564 du 19 avril 2017 (voir notre article «  Corruption et signalement : décrets d’application de la loi Sapin 2 »). Ces textes sont venus instituer un régime commun de l’alerte en précisant la procédure à suivre s’agissant des conditions d’émission et de traitement des alertes.

Instauration de systèmes d’alerte obligatoires par la loi Sapin 2

La loi Sapin 2 impose la mise en place d’un certain nombre de systèmes d’alerte et de protection des lanceurs d’alerte pour certains organismes publics ou privés.

A compter du 1er janvier 2018,  les organismes suivants doivent établir une procédure de recueil des signalements protégeant les lanceurs d’alerte : les personnes morales de droit public ou de droit privé d’au moins 50 agents ou salariés, et certains autres organismes publics.[1]

Par ailleurs les organismes suivants doivent mettre en place un dispositif d’alerte interne en matière de corruption :  les sociétés ou les EPIC dont l’effectif comprend au moins 500 salariés, ou faisant partie d’un groupe dont la société mère a son siège social en France, dont l’effectif comprend au moins 500 salariés et dont le chiffre d’affaires (consolidé ou non) est supérieur à 100 millions d’euros.

De plus, dans le secteur financier, les entreprises ont l’obligation de mettre en œuvre des systèmes permettant le signalement de tout manquement aux obligations prévues par la réglementation des marchés financiers à l’AMF ou à l’ACPR (Autorité de contrôle prudentiel et de résolution).

Il est à noter que l’AU-004 couvre non seulement les dispositifs d’alertes professionnelles rendus obligatoires par la loi Sapin 2 pour ces organismes, mais également ceux que d’autres décideraient volontairement de mettre en œuvre.

Modification significative du champ d’application de l’AU 004

Changement concernant les lanceurs d’alerte

Désormais, l’AU-004 couvre des alertes émises non seulement par un membre du personnel de l’organisme mais aussi par un « collaborateur extérieur et occasionnel ».  Ceci est plus restrictif que la définition du lanceur d’alerte donné à l’article 6 de la Loi Sapin 2 qui se réfère à « une personne physique » (donc « toute » personne physique) qui dénonce des faits (listés ci-après), « dont elle a personnellement connaissance ».

Les alertes doivent être faites de bonne foi et de façon désintéressée (à savoir, sans incitation financière).

Désormais, et pour se conformer aux dispositions de la loi Sapin 2, le périmètre de l’AU-004 a été étendu puisqu’il couvre les dispositifs d’alertes professionnelles suivants.

Signalements par des membres du personnel ou des collaborateurs extérieurs et occasionnels relatifs à (selon la liste de l’article 6 de la loi Sapin 2) :

  • un crime ou délit ;
  • une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ou approuvé par la France ;
  • une violation grave et manifeste de la loi ou du règlement ;
  • une menace ou un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance.

Signalements par des membres du personnel (selon les obligations de la Loi Sapin 2) :

  • relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement ; et
  • dans le secteur financier, relatifs aux obligations définies par les règlements européens et par le Code monétaire ou financier ou le Règlement général de l’Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution.

La CNIL considère que cette liste couvre les sujets de la liste, plus restrictive, établie par elle dans la précédente version de l’AU-004.  Il est à noter que la nouvelle liste fait davantage référence à des manquements qu’à des lois ou règlementations s’appliquant en France (qu’il s’agisse de règle françaises européennes ou internationales). La seule exception concerne les règles des codes de conduites des sociétés en matière de corruption ou trafic d’influence, pour lesquelles le responsable de traitement peut se référer à son intérêt légitime pour inclure des règles faisant référence à des lois étrangères en la matière, comme notamment la loi anglaise (UK Bribery Act) et la loi Américaine sur la corruption de fonctionnaires étrangers (FCPA). La référence à l’intérêt légitime était précédemment plus générale sur l’ensemble de la liste des sujets.

Comme cela est prévu dans la loi Sapin 2, sont exclues de l’AU-004 les alertes portant sur des faits couverts par le secret de la défense nationale, par le secret médical ainsi que par le secret des relations entre un avocat et son client. Pour le traitement de ces alertes, une demande d’autorisation spécifique devra être adressée à la CNIL.

Concernant le traitement de l’identité du lanceur d’alerte

La procédure de recueil des signalements doit garantir la stricte confidentialité de l’identité de l’auteur du signalement et des informations recueillies. La divulgation de ces éléments est punie d’une peine allant jusqu’à deux ans de prison et 30 000 euros d’amende.

Comme cela est prévu par la Loi Sapin 2, l’AU-004 précise que ne peuvent être divulgués, les éléments de nature à identifier :

  • le lanceur d’alerte, sauf vis-à-vis de l’autorité judicaire et avec le consentement de l’auteur ;
  • la personne mise en cause, sauf vis-à-vis de l’autorité judiciaire, une fois établi le caractère fondé de l’alerte.

Concernant l’information des personnes

La CNIL rappelle que l’information doit être délivrée à l’ensemble des utilisateurs potentiels du dispositif, c’est-à-dire aux membres du personnel mais également aux collaborateurs extérieurs et occasionnels.

En plus des éléments qui devaient être fournis jusqu’alors, la CNIL précise que, conformément à la loi Sapin 2, l’information doit notamment « [contenir] les étapes de la procédure de recueil des signalements, définir les différents destinataires et les conditions auxquelles les signalements peuvent être adressés à chacun d’entre eux ».

Par ailleurs, il est utile de rappeler que depuis octobre 2016 il faut préciser les durées de conservation des données.

Quelle formalité accomplir ?

Selon la CNIL « dans la mesure où le nouveau champ d’application de l’AU-004 couvre ceux antérieurement listés, les organismes qui auraient déjà accompli des formalités n’ont aucune démarche à effectuer sur ce point. Néanmoins, ils devront s’assurer de respecter les nouvelles conditions posées par le texte ».

En revanche, il faudra consulter le comité d’entreprise et le CHSCT. Par ailleurs la mise en œuvre de la Loi Sapin 2 pourrait requérir une modification du règlement intérieur et les formalités accompagnant une telle modification.

Si aucune formalité n’a été accomplie, les organismes concernés pourront procéder à un engagement de conformité ou, le cas échéant, saisir la CNIL d’une demande d’autorisation spécifique si leur traitement n’est pas conforme à l’AU-004.

Sanctions

Depuis Octobre 2016, le montant maximum des sanctions financières pouvant être infligées par la CNIL a été élevé à 3 millions d’euros. Ce montant sera encore significativement accru à l’entrée en vigueur du Règlement sur la Protection des Données en Mai 2018. La CNIL a aussi d’autres moyens de sanction à sa disposition, parmi lesquels l’injonction de cesser le traitement ou le retrait de l’autorisation.  Mesures auxquelles s’ajoutent un certain nombre de sanctions pénales.

En outre les données collectées à l’aide d’un système d’alerte non conforme ne peuvent être utilisées comme fondement de sanctions disciplinaires.

La question des systèmes d’alerte est un sujet sensible en France. Par le passé les représentants du personnel de certaines entreprises n’ont pas hésité à porter la question devant les tribunaux jusqu’à la Cour de cassation.

Il est donc très important de se mettre en conformité avec la règlementation.

Règlement sur la Protection des Données « RGDP »

Les systèmes d’alertes professionnelles sont des traitements « à risque élevé ». A ce titre ils devront, à compter du 25 mai 2018, sous réserve de ne pas déjà être conforme à cette date, donner lieu à une étude d’impact sur la vie privée ou en anglais « DPIA » et les responsables de traitement devront, le cas échéant, consulter l’autorité de protection des données avant de mettre en œuvre ce traitement pour les personnes concernées.

Dans ce cadre l’AU-004 (qui connaitra probablement quelques adaptations supplémentaires) conservera toute son utilité, puisqu’elle expose de quelle façon, selon la CNIL et pour la partie française d’un système d’alerte, les risques pour les personnes concernées peuvent et doivent être minimisés.

***
La modification de L’AU-004 était très attendue. Même si elle intervient avant l’entrée en vigueur des obligations de la Loi Sapin 2, il reste, par expérience, fort à faire pour se mettre en conformité. et négocier les contrats avec les éventuels prestataires. La mise en œuvre d’un système d’alerte pourra s’avérer beaucoup plus ardue que par le passé. En effet, la personne recevant l’alerte devra pouvoir identifier si les faits tombent bien dans une des catégories autorisées alors même que hormis la corruption, elles ne sont plus listées par thème mais par référence plus générique, à la loi (y compris pénale) et aux règlements et engagements internationaux de la France. Cette personne devra donc nécessairement avoir une très bonne connaissance du droit français. Par ailleurs, il faut aussi intégrer la conformité au RGPD.
N’hésitez pas à faire appel à notre équipe française et internationale pour vous accompagner dans la mise en conformité de vos systèmes d’alerte.
Contact : stephanie.faber@squirepb.com

 


[1] Les administrations de l’Etat, communes de plus de 10 000 habitants, départements et régions et les établissements publics en relevant ainsi que les établissements publics de coopération intercommunale à fiscalité propre regroupant au moins une commune de plus de 10 000 habitants.