La CNIL modifie l’autorisation unique AU-004 applicable aux dispositifs d’alerte professionnelle

La CNIL a adopté une délibération qui modifie l’autorisation unique AU-004 applicable aux traitements de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle.

La Commission Nationale de l'Informatique et des Libertés ("CNIL") considère les dispositifs d'alerte professionnelle comme des traitements de données à caractère personnel qui relèvent de l'article 25-I-4° de la loi du 6 janvier 1978 relative à l'Informatique, aux fichiers et aux libertés (dite "loi Informatique et Libertés"). Cet article prévoit que "les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire" doivent être autorisés par la CNIL préalablement à leur mise en œuvre. Il est utile de rappeler que l'article 25-II de la loi permet à la CNIL d'autoriser par une décision unique tous les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires. Dans ce cas, le responsable de traitement adresse à la CNIL un engagement de conformité du traitement à la description figurant dans l'autorisation unique. Lorsqu'un traitement de données personnelles ne répond pas aux conditions énoncées dans l'autorisation unique, l'organisme déclarant doit faire une demande d'autorisation individuelle accordée, au cas par cas, par la CNIL.

Le 8 décembre 2005,  la CNIL a rendu une délibération portant autorisation unique pour les traitements mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (ci-après "AU-004")[1]. Cette délibération énonce les conditions applicables à la mise en œuvre d'un dispositif d'alerte professionnelle : les finalités du traitement, les types de données qui peuvent être enregistrées, les conditions de traitement de l'identité de l'émetteur, la durée de conservation des données, les mesures de sécurité, ou encore l'information des utilisateurs potentiels du dispositif. L'AU-004 définit le champ d'application des dispositifs d'alerte de manière restrictive. Selon l'article 1er, seuls les dispositifs d'alerte professionnelle mis en œuvre pour répondre à une obligation législative ou réglementaire dans les domaines financier, comptable, bancaire et de lutte contre la corruption, ou par les entreprises soumises à la section 301(4) de la loi américaine dite "Sarbanes-Oxley" peuvent faire l'objet d'un engagement de conformité à l'AU-004.

L'article 3 de l'AU-004 énonce de manière limitative les catégories de données, y compris les faits signalés, qui peuvent être collectées et traitées dans le cadre d'un dispositif d'alerte. L'AU-004 précise notamment que "les faits recueillis sont strictement limités aux domaines concernés par le dispositif d'alerte (autrement dit, les domaines financier, comptable, bancaire, de lutte contre la corruption, et le respect de la loi Sarbanes-Oxley). Par délibération du 14 octobre 2010[2], la CNIL a étendu le champ d'application de l'AU-004 à deux nouveaux domaines : la lutte contre les pratiques anti-concurrentielles et le respect de la loi japonaise "Financial Instrument and Exchange Act" du 6 juin 2006 (qui est comparable à la SOX américaine). La CNIL semblait déjà reconnaître implicitement la validité des dispositifs d'alerte utilisés pour respecter les règles de concurrence comme le montrent les 90 autorisations individuelles délivrées en la matière[3]. La CNIL a donc jugé opportun de prendre en compte certaines évolutions et d'ajouter ces deux nouveaux domaines à la liste des finalités autorisées par l'AU-004.

Par ailleurs, la délibération du 14 octobre 2010 tient compte de la solution rendue dans un arrêt du 8 décembre 2009 dans lequel la Cour de cassation avait mis en lumière les difficultés d'interprétation de certaines dispositions de l'AU-004. Conformément à l'article 3 de l'AU-004 (dans son ancienne version), des faits ne se rapportant pas explicitement aux  domaines susmentionnés pouvaient toutefois être communiqués aux personnes compétentes de l'organisme concerné lorsque l'intérêt vital de cet organisme ou l'intégrité physique ou morale de ses employés était en jeu.

Selon la CNIL, cette disposition pouvait exceptionnellement servir à dénoncer des faits d'une particulière gravité, tels que le harcèlement moral ou sexuel, le délit d'initié, la discrimination ou le conflit d'intérêts[4]. Dans son arrêt du 8 décembre 2009, la Cour de cassation en a décidé autrement, jugeant que la mise en œuvre d'un dispositif d'alerte professionnelle faisant l'objet d'un engagement de conformité à l'autorisation unique AU-004, devait se limiter aux seuls domaines définis à l'article 1er et que l'article 3 ne devait pas être interprété comme permettant un élargissement de la finalité des dispositifs d'alertes tels que prévus par l'autorisation unique. 

La question qui se posait à la suite de l'arrêt du 8 décembre 2009 était de savoir quel sort était réservé aux dispositifs d'alerte qui avaient été mis en œuvre conformément à l'ancien article 3, et s'il fallait considérer que de tels dispositifs étaient illégaux. D'après la CNIL, les organismes qui ont régulièrement déclaré leurs dispositifs d'alerte professionnelle avant l'entrée en vigueur de la délibération du 14 octobre 2010 ne sont pas obligés de procéder à une nouvelle déclaration de conformité à l'AU-004 si le périmètre de leur dispositif respecte le nouveau champ défini par la CNIL.

En revanche, les organismes dont le dispositif ne respecte pas strictement ces conditions ont six mois à compter de la publication des nouvelles dispositions au Journal Officiel (soit jusqu'au 8 juin 2011)[5] pour mettre leur traitement en conformité. En d'autres termes, les organismes dont les dispositifs d'alerte existants dépassent le nouveau champ d'application de l'AU-004 doivent soit modifier leur dispositif afin de se mettre en conformité avec les nouvelles règles, soit faire une demande d'autorisation individuelle auprès de la CNIL.



[1] Délibération n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle (Autorisation unique AU-004).

[2] Délibération n°2010-369 du 14 octobre 2010 modifiant l'autorisation unique n°2005-305 du 8 décembre 2005 n°AU-004 relative aux traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle.

[3] Voir « Alertes professionnelles : la CNIL clarifie son autorisation unique n°AU-004 », 8 décembre 2010, disponible sur le site de la CNIL : www.cnil.fr

[4] Voir « FAQ sur les dispositifs d'alerte professionnelle », disponible sur le site de la CNIL : www.cnil.fr

[5] La délibération du 14 octobre 2010 a été publiée au Journal Officiel le 8 décembre 2010.