Publiez vos actualités

Retrouvez toute l’information économique locale, des brèves, des infos « terrain » liées aux thématiques de votre communauté. Publiez dans l'espace adhérents les actualités de votre entreprise et augmentez votre notoriété.

Alerte professionnelle : mise en place du recueil des signalements

A compter du 1er janvier 2018, les entreprises d’au moins 50 salariés doivent mettre en œuvre une procédure de recueil des alertes émises par des lanceurs d’alerte et déclarer ce dispositif auprès de la Cnil. Le décret n° 2017-564 du 19 avril 2017 en précise les diverses modalités.

La Cnil définit le dispositif d’alerte professionnelle comme un système mis en œuvre par des organismes publics ou privés, à destination des membres de leur personnel ou des collaborateurs extérieurs et occasionnels pour les inciter à signaler à l’organisme employeur des comportements, dont ils ont eu personnellement connaissance, qu’ils estiment contraires aux règles applicables, et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné.

Ce dispositif est mis en œuvre complémentairement aux voies traditionnelles de signalement et son utilisation ne constitue qu’une faculté pour l’employé de l’organisme.

1) Les employeurs concernés

Au 1er janvier 2018, tout employeur d’au moins 50 salariés doit mettre en œuvre une procédure de recueil des signalements émis par les lanceurs d’alerte. Il en choisit librement le processus de mise en place : accord collectif, décision unilatérale…

Cette procédure de recueil des alertes doit notamment préciser :

- l’identité du référent susceptible de recevoir les alertes ;

- les modalités selon lesquelles le lanceur d’alerte adresse son signalement au supérieur hiérarchique, direct ou indirect, à l’employeur ou au référent et fournit les faits, informations ou documents de nature à étayer son alerte ;

- les dispositions prises par l’entreprise pour informer sans délai l’auteur du signalement sur les modalités de traitement mises en œuvre ; garantir sa confidentialité ainsi que celle des faits et personnes visées ; la destruction des dossiers sans suite ; les opérations de clôture des procédures engagées ;

- l’existence d’un traitement automatisé des signalements mis en œuvre après autorisation de la Cnil.

L’employeur doit informer par tout moyen ses salariés ainsi que ses collaborateurs extérieurs ou occasionnels de cette procédure : notification, affichage, publication, site internet…

Par ailleurs, des dispositions d’alerte professionnelle spécifiques sont déjà obligatoires dans certains secteurs, et en dehors de toute obligation légale, certaines entreprises en mettent déjà en place.

Obligatoire ou pas, dès lors que le dispositif prend la forme d’un traitement automatisé de données à caractère personnel, il doit être déclaré à la Cnil.

2) La déclaration à établir

Les dispositifs d’alerte professionnelle mis en œuvre sur les lieux de travail peuvent prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d’exclure des personnes du bénéfice de leur contrat de travail en l’absence de toute disposition législative ou réglementaire et susceptibles de contenir des données relatives à des infractions. Ils doivent donc être autorisés par la Cnil.

Cependant, cette dernière peut adopter une décision unique d’autorisation pour des traitements répondant aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques.

Il en est ainsi de la délibération du 22 juin 2017 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU – 004) en respect de la loi du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Loi Sapin II ».

Le responsable de traitement mettant en œuvre un dispositif d’alerte professionnelle qui respecte les dispositions de l’AU-004 adresse alors à la Commission un engagement de conformité lui donnant l’autorisation de l’utiliser.

Peuvent faire l’objet d’un engagement de conformité à la AU-004, les traitements automatisés de données à caractère personnel mis en œuvre par les organismes publics ou privés ayant pour finalité le signalement et le traitement des alertes, émises par une personne physique, relative à :

- un crime ou un délit ;

- une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;

- une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié ;

- une violation grave et manifeste de la loi ou du règlement ;

- ou une menace ou un préjudice graves pour l’intérêt général, dont l’émetteur de l’alerte a eu personnellement connaissance.

Sont également couverts, les traitements mis en œuvre pour le recueil de signalements émanant de salariés relatifs :

- aux obligations définies par les règlements européens et par le Code monétaire ou financier ou par le règlement général de l’Autorité des marchés financiers et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;

- à l’existence de conduites ou de situations contraires au code de conduite de la société concernant des faits de corruption ou de trafic d’influence, et ce, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable du traitement.

L’alerte ne peut toutefois pas porter sur des éléments couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client.

L’émetteur de l’alerte doit s’identifier mais son identité est traitée de façon confidentielle par l’organisation chargée de la gestion des alertes. Par exception, l’alerte d’une personne qui souhaite rester anonyme peut être traitée sous les conditions suivantes :

- la gravité des faits mentionnés doit être établie et les éléments factuels suffisamment détaillés ;

- le traitement de l’alerte doit s’entourer de précautions particulières (examen préalable à la diffusion dans le cadre du dispositif).

3) Les données traitées

Pour être conformes à l’autorisation unique, seules les catégories de données suivantes peuvent être traitées :

- l’identité, les fonctions et les coordonnées de l’émetteur de l’alerte professionnelle, des personnes faisant l’objet d’une alerte, des personnes intervenant dans le recueil ou dans le traitement de l’alerte ;

- les faits signalés ;

- les éléments recueillis dans le cadre de la vérification des faits signalés ;

- le compte rendu des opérations de vérification ;

- les suites données à l’alerte.

Sauf dispositions contraires, les signalements sont adressés au supérieur hiérarchique, à l’employeur ou au référent désigné par lui, ainsi qu’à toutes personnes chargées de la gestion des alertes professionnelles avec une obligation renforcée de confidentialité.

Les données relatives à une alerte n’entrant pas dans le champ du dispositif sont détruites ou archivées sans délai, après anonymisation. Il en est de même lorsque l’alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire. Lorsqu’une procédure est engagée, les données relatives à l’alerte sont conservées jusqu’au terme de la procédure. Quant aux données faisant l’objet de mesures d’archivage, elles sont conservées, avec un accès restreint, pour une durée n’excédant pas les délais de procédures contentieuses.

Le responsable des traitements prend toutes précautions utiles pour préserver la sécurité des données lors de leur recueil, de leur communication ou de leur conservation. Les accès aux traitements de données sont enregistrés et leur régularité contrôlée.

L’identité de l’émetteur d’une alerte et des personnes visées par l’alerte ainsi que les informations recueillies par l’ensemble des destinataires du signalement sont traitées de façon confidentielle.

4) L’information des utilisateurs potentiels du dispositif

Au-delà de celle prévue par le Code du travail, une information claire et complète est délivrée aux membres du personnel de l’organisme et aux collaborateurs ayant vocation à utiliser le dispositif ; elle précise :

- l’identification de l’entité responsable du dispositif ;

- les objectifs poursuivis et les domaines concernés par les alertes ;

- le caractère facultatif du dispositif ;

- l’absence de conséquences à l’égard des employés de la non-utilisation de ce dispositif ;

- les éventuels transferts de données à caractère personnel à destination Etat non membre de la CE ;

- l’existence d’un droit d’accès, de rectification et d’opposition au bénéfice des personnes identifiées dans le cadre de ce dispositif ;

- les étapes de la procédure de recueils des signalements ;

- les conséquences de l’utilisation abusive du dispositif.

5) L’information de la personne faisant l’objet d’une alerte

Cette information s’effectue par le responsable du dispositif dès l’enregistrement de données concernant la personne objet de l’alerte, afin de lui permettre de s’opposer au traitement de ces données (sauf nécessité de mesures conservatoires). Elle précise notamment :

- l’entité responsable du dispositif ;

- les faits reprochés ;

- les services éventuellement destinataires de l’alerte ;

- les modalités d’exercice des droits d’accès et de rectification.

6) Respect des droits d’accès et de rectification

Le responsable du dispositif d’alerte garantit à toute personne identifiée le droit d’accéder aux données la concernant et d’en demander, si elles sont inexactes, incomplètes, équivoques ou périmées, la rectification ou la suppression.

La personne, objet d’une alerte, ne peut en aucun cas obtenir communication du responsable du traitement, sur le fondement de son droit d’accès, des informations concernant l’identité de l’émetteur de l’alerte.

Tout dispositif d’alerte professionnelle mettant en œuvre le traitement de données à caractère personnel ne répondant pas aux dispositions de l’AU-004 doit faire l’objet d’une demande d’autorisation auprès de la Cnil.

Informations

Rédacteur
Christine RUBETTI
CONSULTANT COMMERCE

Date de publication
le 15/12/17 à 17:47