La Commission nationale de l’informatique et des libertés (CNIL) a modifié son autorisation unique n°AU-004¹ sur les alertes professionnelles afin de prendre en compte les dispositions issues de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi Sapin 2.

Cette simplification bienvenue permet désormais aux entreprises soumises à la loi Sapin 2 de bénéficier de formalités préalables allégées auprès de la CNIL lors de la mise en place de procédures d’alerte professionnelle.

• La mise en place obligatoire d’un dispositif de recueil des alertes professionnelles dans le cadre de la loi Sapin 2

La loi Sapin 2 met à la charge des sociétés visées aux articles 8 et 17 l’obligation de mettre en place des dispositifs d’alerte professionnelle. Deux types de dispositifs ont été institués par ce texte de loi.

Le dispositif de l’article 17 (obligatoire depuis le 1er juin 2017) vise à recueillir les signalements relatifs aux manquements au Code de conduite anti-corruption et anti-trafic d’influence pour les sociétés qui emploient au moins 500 salariés ou qui appartiennent à un groupe de sociétés dont la société mère a son siège social en France et dont le chiffre d’affaire est supérieur à 100 millions d’euros. L’Agence française anti-corruption (AFA) a annoncé qu’elle avait lancé en octobre dernier les premiers contrôles visant à vérifier le respect de la mise en œuvre du programme anticorruption par les entreprises concernées.

Le dispositif d’alerte de l’article 8 de la loi Sapin 2 a un objet bien plus large puisqu’il vise tous (i) les crimes, (ii) les délits, (iii) les violations graves et manifestes d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou (iv) une menace ou un préjudice grave pour l’intérêt général. Toutes les personnes morales de droit privé ou de droit public employant au moins 50 salariés devront mettre en place cette procédure d’alerte avant le 1er janvier 2018.

L’extension du champ d’application de l’AU-004

Avant la présente délibération de la CNIL, le champ d’application de l’AU-004 ne permettait pas d’inclure les dispositifs d’alerte de l’article 8 et la question restait ouverte pour celui de l’article 17. En effet, les autorisations uniques étant d’interprétation très stricte, tout écart avec la norme édictée après la CNIL nécessite une demande d’autorisation spécifique.

Une telle demande doit être motivée et implique des délais de traitement par la CNIL relativement longs, entre quatre et six mois en moyenne actuellement.

Dans sa version initiale l’AU-004 était limitée à des secteurs spécifiques tels que le domaine financier, comptable, bancaire, la lutte contre la corruption, puis a été étendue aux pratiques anticoncurrentielles et enfin aux faits de discrimination et de harcèlement sur le lieu de travail, à la santé, l’hygiène, la sécurité au travail et aux problématiques environnementales.

Par sa délibération du 22 juin 2017, la CNIL étend ainsi considérablement le champ d’application de l’AU-004 laquelle couvre tout dispositif visant à recueillir des signalements ou révélations portant sur:

• un crime ou un délit ;
• une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
• une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;
• une violation grave et manifeste de la loi ou du règlement ;
• une menace ou un préjudice grave pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
• les obligations définies par les règlements européens et par le Code monétaire et financier (CMF) ou le règlement général de l’Autorité des marchés financiers (AMF) et dont la surveillance est assurée par l’AMF ou l’Autorité de contrôle prudentiel et de résolution (ACPR), pour les employés de l’organisme ;
• des conduites ou des situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, pour les employés de l’organisme, dès lors que la mise en Å“uvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

Le périmètre des dispositifs d’alerte professionnelle couverts par l’AU-004 est donc considérablement étendu.

La CNIL exclut toutefois de cette autorisation unique les alertes portant sur des faits couverts par le secret de la défense nationale, par le secret médical et par le secret des relations entre un avocat et son client.

• L’élargissement des alertes professionnelles à certains tiers à l’entreprise

Toujours dans le cadre de l’ouverture de l’AU-004 au dispositif d’alerte de la loi Sapin 2, outre les salariés, les collaborateurs extérieurs et occasionnels de l’organisme ayant mis en place le dispositif d’alerte peuvent désormais signaler les comportements ou manquements contraires aux domaines visés à l’article 1 de l’autorisation unique.

Ni la loi, ni la CNIL ne définissent qui sont les collaborateurs extérieurs et occasionnels. On peut néanmoins penser que cette catégorie vise les personnes intervenant pour l’entreprise sans être liées par un contrat de travail, c’est-à-dire notamment les intérimaires, les stagiaires, le personnel mis à disposition par un prestataire de services. Le responsable de traitement devra en tout état de cause veiller à ne pas ouvrir la procédure de recueil des signalements à tous tiers sans aucune distinction.

• L’encadrement de la procédure de recueil des signalements précisé

Pour pouvoir bénéficier de l’AU-004, le responsable de traitement devra veiller à respecter strictement les limites posées par celle-ci ainsi que l’ensemble des obligations de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, dite loi informatique et libertés.

En particulier, les personnes concernées, y compris les collaborateurs extérieurs, devront être dûment informées – en sus des mentions obligatoires prévues par l’article 32 de la loi informatique et libertés – des différentes étapes de la procédure de recueil des signalements, des différents destinataires et des règles applicables au traitement de leur signalement.

La procédure d’alerte devra par ailleurs avoir fait l’objet d’une consultation des instances représentatives du personnel compétentes.

La CNIL réaffirme également l’obligation pour l’organisme de ne pas inciter les personnes ayant vocation à utiliser le dispositif d’alerte de façon anonyme. La CNIL exige ainsi que l’émetteur de l’alerte s’identifie et n’admet qu’à titre exceptionnel les signalements anonymes, à condition que des précautions particulières soient mises en place. Il est précisé que l’identité de l’auteur du signalement ne pourra être divulguée à un tiers, à l’exception des autorités judiciaires, sans son consentement.

De même, l’identité de la personne visée par le signalement ne pourra être communiquée à un tiers, sauf une autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.

Les destinataires de ces alertes doivent être limités, spécialement formés et astreints à une obligation renforcée de confidentialité contractuellement définie. Les signalements doivent ainsi être adressés au supérieur hiérarchique, à l’employeur ou au référent désigné par ce dernier.

La CNIL précise encore que les sociétés établies aux États-Unis ayant adhéré au Privacy Shield pour les traitements de données de ressources humaines pourront être destinataires des données collectées.

• Les sanctions applicables aux dispositifs d’alertes professionnelles non conformes à la loi informatique et libertés

La CNIL indique dans la présentation de sa délibération que les organismes ayant déjà procédé à un engagement de conformité à l’AU-004 n’auront pas à effectuer de nouvelles formalités préalables mais devront adapter leurs procédures internes afin d’être conforme aux nouvelles dispositions. L’organisme concerné devra notamment veiller à ce que son dispositif soit en tous points conforme à l’AU-004, autrement une demande d’autorisation spécifique devra être obtenue.

En cas de manquements constatés à la loi informatique et libertés, notamment l’absence de formalités préalables à la mise en place d’un traitement, le responsable de traitement encourt des peines pouvant aller jusqu’à cinq ans d’emprisonnement² et 3 000 000 d’euros d’amende pour une personne morale³.

Avec l’entrée en vigueur prochaine du règlement européen (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, les sanctions financières pourront s’élever à 20 millions d’euros ou 4% du chiffre d’affaires mondial.

Il est donc indispensable pour les organismes concernés d’évaluer la conformité des procédures d’alertes existantes ou celles qu’ils envisagent de mettre en place dans le cadre de la loi Sapin 2.

¹ Délibération n°2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en Å“uvre dans le cadre de dispositifs d’alerte professionnelle (AU-004)
² Article 226-16 du Code pénal
³ Article 47 de la Loi Informatique et Libertés

Ludovique Clavreul, avocat en droit social

Maxime Hanriot, avocat, droit de la Propriété Intellectuelle et des Nouvelles Technologies

Alertes professionnelles et loi Sapin 2 : extension de l’autorisation unique AU-004 par la CNIL – Article paru dans Les Echos Exécutives le 16 novembre 2017