CONTACT

Le référentiel de la CNIL sur les dispositifs d’alertes professionnelles

03 janvier 2020 | Derriennic Associés |

Le 10 décembre 2019, la CNIL a rendu public son référentiel relatif aux dispositifs d’alertes professionnelles, lequel fait suite à une consultation publique et vient remplacer l’autorisation unique AU-004, qui n’avait plus de valeur juridique depuis l’entrée en vigueur du RGPD.

Dans le cadre de la mise à jour de ses référentiels, la CNIL a publié un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles (DAP).

Le respect de ce référentiel permet aux organismes de s’assurer de la conformité de leurs traitements de données à caractère personnel mis en œuvre dans le cadre des DAP. Les organismes qui s’écarteraient de ce référentiel pour des raisons tenant à leur situation doivent être en mesure de justifier de l’existence d’un tel besoin.

Pour rappel, le DAP a pour objet de permettre, conformément aux exigences de la loi « Sapin 2 », aux membres du personnel et aux collaborateurs extérieurs et occasionnels d’un organisme, de signaler un crime ou un délit, une violation grave et manifeste de la loi ou du règlement, une menace ou un préjudice grave pour l’intérêt général, l’existence de faits susceptibles de caractériser une corruption ou un trafic d’influence, les risques d’atteintes graves aux droits de l’Hommes et/ou libertés fondamentales, etc.

La CNIL précise, dans ce référentiel, que les bases légales du traitement susceptibles d’être retenues sont le respect d’une obligation légale incombant à l’organisme et imposant la mise en œuvre d’un DAP, mais également l’intérêt légitime poursuivi par le destinataire des données, dans l’hypothèse où la mise en place du DAP ne résulterait pas d’une obligation légale s’imposant au responsable du traitement.

S’agissant des durées de conservation, la CNIL indique que :

les données relatives à une alerte n’entrant pas dans le champ du dispositif doivent être détruites sans délai;
lorsqu’aucune suite n’est donnée à une alerte, les données sont détruites dans les deux mois à compter de la clôture des opérations de vérification ;
si une procédure disciplinaire ou contentieuse est engagée à l’encontre d’une personne mise en cause ou de l’auteur de l’alerte, les données relatives à l’alerte peuvent être conservées pendant la durée de la procédure ou jusqu’à la prescription des recours à l’encontre de la décision.
L’information à fournir au titre des articles 13 et/ou 14 du RGPD doit être délivrée aux effectifs propres du responsable du traitement, mais également aux collaborateurs, clients et fournisseurs extérieurs du responsable du traitement, lorsque ces personnes ont un lien contractuel direct avec l’organisme, ainsi qu’aux effectifs des personnes morales entretenant un lien contractuel avec le responsable du traitement. Cette information, qui doit faire l’objet d’une consultation préalable des instances compétentes, doit notamment inclure une mention indiquant que l’utilisation abusive du dispositif peut exposer son auteur à des sanctions ou des poursuites.

Ce référentiel contient également des informations concernant l’exercice des droits des personnes, et précise notamment que l’exercice du droit de rectification ne saurait permettre la modification rétroactive des éléments contenus dans l’alerte ou collectées lors de son instruction.

En complément de ce nouveau référentiel, la CNIL a également publié, le 10 décembre 2019, une FAQ sur le sujet (https://www.cnil.fr/fr/le-referentiel-relatif-au-dispositif-dalertes-professionnelles-en-questions).

Lien vers le référentiel : https://www.cnil.fr/sites/default/files/atoms/files/referentiel-alertes-professionnelles_decembre-2019.pdf