Par Denise Lebeau-Marianna, associée, et Mathilde Hallé, avocat, DLA Piper

1. Un périmètre de l’AU-004 désormais largement étendu

La CNIL a toujours été particulièrement vigilante s’agissant des dispositifs d’alerte professionnelle (ou whistleblowing) mis en place par les entreprises, considérant qu’ils ne reposaient pas sur un fondement légal de droit français et qu’ils contribuaient à la mise en œuvre d’un système de «délation organisée». Cette réticence l’avait conduite à adopter en 2005 l’autorisation unique n° AU-004 afin de fixer les conditions dans lesquelles ces dispositifs pouvaient être considérés comme licites du point de vue de la protection des données personnelles. Initialement limitée aux alertes relatives aux domaines financiers, comptables, bancaires et de lutte contre la corruption, l’AU-004 a déjà fait l’objet de plusieurs révisions afin d’y intégrer certaines évolutions législatives et réglementaires. En 2010, les pratiques anti-concurrentielles ont été intégrées dans le champ des alertes autorisées et en février 2014, le périmètre des alertes autorisées dans le cadre de l’AU-004 a été étendu aux faits de discrimination et de harcèlement sur le lieu de travail, à la santé, l’hygiène et la sécurité au travail, ainsi qu’à des problématiques environnementales (voir notre article du 14 février 2014 à ce sujet sur le blog de DLA Piper Privacy Matters).

Avec la loi Sapin 2, la CNIL – prenant appui sur un texte de droit français comme fondement légal – étend à nouveau le périmètre des domaines couverts par l’AU-004, mais cette fois de manière assez considérable, puisque les limites qu’elle avait fixées jusqu’alors en termes de domaines pouvant faire l’objet d’une alerte sont désormais levées.