Comment traiter les données sensibles issues d’alertes professionnelles ?

Celle-ci distingue deux types d'alertes professionnelles couplés à un régime de protection spécifique : un cadre général d'alertes en cas de violation de règles institutionnelles de portée large en cas notamment de délit de toute nature, et un cadre spécifique propre aux signalements de violation de règles internes d'entreprise (fraude, corruption, trafic d'influence).

(cf. précédentes chroniques obligation-modifier-code-travail-anti-corruption.php ; procedure-signalement-etablissements-medico-sociaux-evenement-grave.php ; protection-lanceurs-alertes-defence-public-entreprises.php ; registre-special-alertes-1404072.php).

Par définition, le déclenchement d'une alerte professionnelle est un sujet sensible, tant pour l'organisation concernée que pour les protagonistes impliqués.

A cet effet, une procédure de recueil des signalements a été instituée par voie réglementaire, applicable aux organismes publics et privés à partir d'un certain seuil, soit 50 salariés pour les entreprises (cf. décret n° 2017-564 du 19 avril 2017).

Au cœur de ce dispositif se pose la question du traitement des données à caractère personnel liés au recueil de l'alerte, à commencer par l'identité de son auteur et des personnes visées, dont la stricte confidentialité doit être garantie, d'autant que ces données peuvent s'avérer en lien avec des infractions pénales.

La loi interdit toute divulgation des éléments de nature à identifier le lanceur d'alerte, sauf à l'égard de l'autorité judiciaire ou en cas de consentement de l'intéressé. Pour ce qui concerne la personne mise en cause, les éléments de nature à l'identifier ne peut être divulgués -sauf à l'autorité judiciaire- que si le bien-fondé de l'alerte a pu être préalablement établi. La violation de ces interdictions constitue un délit passible d'une peine de 2 ans d'emprisonnement et de 30 000 € d'amende (cf. loi n° 2016-1691 du 9 décembre 2016, art. 9 II).

Dès l'origine, l'obligation de mise en place de dispositifs d'« alerte éthique » (whistleblowing) dans les filiales d'entreprises cotées aux USA imposée par la loi Sarbanes-Oxley (SOX Act de 2002) en réaction à des scandales de fraudes comptables et boursières (qui constitue un exemple de la capacité d'extraterritorialité du droit américain), a soulevé la problématique du risque pour les droits et libertés des personnes (exclusion du contrat de travail), nécessitant de définir un cadre de règles applicable à ces procédures de contrôle interne en l'absence de toute disposition législative ou réglementaire spécifique à l'époque en droit français.

A cet effet, la CNIL avait établi une norme d'autorisation unique n° AU-004 permettant aux responsables de traitement de se conformer aux dispositions de la loi Informatique et libertés (cf. délibération n° 2005-305 du 8 décembre 2005, modifiée par délibération n° 2017-191 du 22 juin 2017 pour tenir compte de l'élargissement du champ des alertes suite à la loi SAPIN II).
L'entrée en vigueur du RGPD le 25 mai 2018 est toutefois venue modifier la donne, puisque ces autorisations uniques ne sont désormais plus opposables. En vertu du principe d'accountability, les responsables de traitement doivent désormais être en mesure de justifier à tout moment du respect des exigences du RGPD et de la nouvelle loi Informatique et libertés révisée.

Afin de ne pas laisser les acteurs démunis, un projet de nouveau référentiel actualisé est en consultation publique jusqu'au 10 mai 2019 (https://www.cnil.fr/sites/default/files/atoms/files/referentiel-alertes-pro.pdf), l'objectif du document final à venir étant de guider les organismes dans leur mise en conformité (et notamment dans l'élaboration de leur analyse d'impact sur la protection des données - AIPD), dans un cadre actualisé.

(A noter qu'en parallèle, un projet de référentiel « gestion des ressources humaines » est également soumis à consultation publique jusqu'au 29 mai 2019.)

Ce référentiel s'adresse aux organismes privés ou publics ainsi qu'aux services qui décideraient ou seraient tenus de mettre en œuvre un dispositif leur permettant de recueillir et traiter des signalements de conduites ou de situations susceptibles de constituer un manquement aux règles applicables dans leur entité. A titre d'exemple, sont cités les dispositifs mis en œuvre au titre :
• de la loi SAPIN II ;
• de la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre (cf. précédente chronique https://www.preventica.com/actu-chronique-rse-devoir-vigilance-societes-francaises-activites-filiales-fournisseurs.php) ;
• de l'article L4131-2 du Code du travail sur et es attributions du CSE pour recevoir les alertes de salariés en cas de danger grave et imminent (bien que non visées dans cette énumération, les alertes en cas de risque grave pour la santé publique ou l'environnement relevant de l'article L4133-2 devraient logiquement être concernées également).

Le projet de référentiel détaille ainsi classiquement quelles sont les exigences essentielles à respecter concernant :
• Les finalités limitatives pour lesquelles ce type de traitement est autorisé ;

• Les bases juridiques possibles permettant que le traitement puisse être considéré comme licite (ce qui en l'occurrence ne peut reposer que sur la référence au respect d'une obligation légale, ou à l'intérêt légitime mais toujours sous la réserve de proportionnalité prévue par le RGPD que cela ne méconnaisse pas l'intérêt ou les droits et libertés fondamentaux de la personne concernée ;

? La minimisation des catégories de données susceptibles d'être régulièrement traitées (de la collecte à leur destruction), étant rappelées que certaines données réputées sensibles en vertu du RGPD sont soumises à des restrictions particulières.

Dans ce cadre, il est rappelé le principe selon lequel les faits recueillis sont strictement limités aux actes visés par le dispositif d'alerte. La prise en compte de l'alerte ne doit s'appuyer que sur des données formulées de manière objective, en rapport direct avec le périmètre du dispositif d'alerte, et strictement nécessaires à la vérification des faits allégués. Les formulations utilisées pour décrire la nature des faits signalés doivent faire apparaître leur caractère « présumé ».

La question de l'identité de l'auteur de l'alerte fait l'objet de dispositions particulières, notamment pour recommander de ne pas inciter à utiliser le dispositif de manière anonyme (l'anonymat devant rester l'exception avec mise en place de garanties particulières, compte tenu notamment du risque de dénonciation calomnieuse). Rien n'empêche en revanche -au contraire- le responsable du traitement de recourir à des techniques d'anonymisation des données, par soucis de sécurité.

• Les destinataires, qui doivent être spécialement « habilitées à en connaître », ce qui n'est pas sans rappeler la terminologie du secret défense.

Typiquement est ici abordée la question des prestataires extérieurs (sous-traitants pour le compte du responsable du traitement), ainsi que la question du transfert de données intragroupe et des possibilités de transfert hors Union européenne (point qui avait d'ailleurs soulevé à l'époque d'importantes difficultés dans le cadre de la mise en œuvre du Sarbanes-Oxley Act précité).

La question du choix des personnes habilitées, de leur formation et de leur sensibilisation paraît ici cruciale pour maîtriser en pratique les risques liés au dispositif d'alerte.

• La limitation des durées de conservation, en fonction notamment des suites disciplinaires ou judiciaires données aux alertes.

• L'information transparente des personnes, non seulement sur le traitement en lui-même (cf. droits et obligations pour le personnel et les tiers, notamment d'utilisation de bonne foi du dispositif), mais également de la personne concernée dès qu'elle est visée par un signalement (sous la réserve du cas où cela compromettrait la prise de mesures conservatoires pour sauvegarder les éléments de preuve par exemple).

• Les droits des personnes prévus par le RGPD, avec certaines adaptations ou restrictions spécifiques, notamment en ce qui concerne le droit d'accès, pour lequel la personne visée par l'alerte « ne peut en aucun cas obtenir communication des informations concernant l'identité de l'émetteur de l'alerte ».

• Les mesures de sécurité pour garantir la confidentialité, l'intégrité et l'exactitude des données. Une liste d'action et de diligences est données afin de guider les responsables de traitement.

• L'obligation de mettre en place préalablement au déploiement du dispositif, une analyse d'impact à la protection des données (AIPD) compte tenu du risque élevé pour les droits et libertés des personnes concernées qu'il entraîne (cf. réunion de plusieurs critères : personnes considérées comme vulnérables (salariés) ; collecte de données sensibles ou à caractère hautement personnel, p. ex. s'agissant d'infractions ; traitement susceptible de produire des effets juridiques négatifs tels que mesures disciplinaires ; risques de représailles).

Si ce futur référentiel s'inscrit dans une continuité, les exigences renforcées du RGPD sont de nature à rendre plus délicate la gestion des alertes éventuelles, en faisant peser un risque juridique plus élevé pour l'entreprise, notamment en termes de plainte ou de contestation judiciaire en cas de non-conformité.