Outre l’obligation générale de prévention en matière de corruption et de trafic d’influence à l’attention des entreprises répondant à certaines conditions de taille (500 salariés au moins) et de chiffre d’affaires (plus de 100 millions d’euros), la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi «Sapin 2», crée également une autre obligation : celle, pour les entreprises, de mettre en place en leur sein une procédure appropriée de recueil des signalements.
Par Isabelle Jaulin Grellier, avocat associé, Lamy Lexel
Récemment, par la délibération n° 2017-191 du 22 juin 2017, la CNIL (Commission nationale informatique et libertés) a donc actualisé l’AU-004 en vue de se conformer à la loi «Sapin 2».
Pour rappel, toute entreprise d’au moins 50 salariés doit, au plus tard au 1er janvier 2018, organiser, via la mise en œuvre d’une procédure, le recueil des signalements qui sont susceptibles d’être émis par les lanceurs d’alerte, lesquels peuvent être les salariés de l’entreprise, mais aussi des collaborateurs extérieurs et occasionnels à l’entreprise.
Dans ce contexte, les entreprises ont l’obligation, dès lors que la procédure comporte un traitement automatisé de données à caractère personnel, de déclarer le dispositif à la CNIL. Le responsable de traitement doit vérifier que le système d’alerte envisagé répond strictement aux conditions de l’autorisation unique et notamment qu’il respecte les règles relatives à la protection des données personnelles.
Si tel est le cas, son obligation consiste alors à adresser un engagement de conformité à cette autorisation. Il s’agit d’une procédure dite simplifiée. A défaut, il lui incombe de demander une autorisation spécifique accordée au cas par cas par la CNIL.
A noter : pour les entreprises ayant déjà accompli les formalités avant l’actualisation de l’autorisation, aucune démarche n’est à effectuer, sous réserve de s’assurer des nouvelles conditions posées par les textes.
1. Quel est le nouveau périmètre de l’AU-004 ?
L’autorisation unique voit son périmètre étendu et couvre désormais les traitements de données ayant pour finalité le signalement et le traitement des alertes réalisés, par des personnes physiques, de manière désintéressée et de bonne foi, relatives à :
– un crime ou un délit ;
– une violation grave et manifeste :
• d’un engagement international régulièrement ratifié ou approuvé par la France,
• d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement,
• de la loi ou du règlement ;
– une menace ou un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance.
Sont également concernés par cette autorisation unique les traitements :
– relatifs aux...
