La CNIL a publié un référentiel relatif aux dispositifs d’alertes professionnelles (DAP), adopté à la suite d’une consultation publique. Il vise à supléer et mettre à jour l’Autorisation Unique 004 qui n’a plus vocation à s’appliquer depuis l’arrivée du RGPD.
Bien que ce référentiel ne dispense pas les responsables du traitement de conduire une analyse d’impact relative à la protection des données (AIPD), il peut servir de référence à la conduite d’une AIPD et les traitements respectant ces préconisations devraient répondre aux exigences du RGPD.
Les évolutions du référentiel par rapport à l’AU 004
Ce référentiel actualise la doctrine de la CNIL sur les alertes professionnelles qui était auparavant matérialisé par l’AU-004.
Il prend en compte les évolutions liées à l’application du RGPD et à la modification de la loi « Informatique et Libertés » et par la directive européenne relative à la protection des lanceurs d’alerte dont l’application effective est prévue à partir de 2021.
Parmi les évolutions notables du référentiel figurent :
-
le référenciel couvre les dispositifs résultant d’une obligation légale (ex: loi dite « devoir de vigilance », loi « Sapin II », etc.), et ceux mis en place à l’initiative du responsable de traitement et qui relève de son intérêt légitime (notamment les alertes dites « éthiques ») ;
- des exigences relatives aux mesures de sécurité plus détaillées ;
-
des précisions sur les durées de conservation des données.
La CNIL rappelle également que les dispositifs d’alertes professionnelles:
- viennent en complément des autres possibilités de remontées d’alertes (ex: la voie hiérarchique) ; et
- n’exonèrent pas l’employeur de ses obligations légales (telle que celle de prévenir les risques psychosociaux, droits et libertés fondamentales, Code du travail, etc.).
L’intérêt de ce référrentiel
Si on le compare avec l’AU 004, son intérêt est moindre dans la mesure où il ne suffit plus à démontrer la conformité du responsable du traitement au RGPD.
Bien qu’il n’a aucune force obligatoire, ce document, lorsqu’il est suivi par l’organisme concerné, permet d’apporter une certaine sécurité juridique aux entreprses qui suivront cette recommandation car il s’agit d’une position officielle de la CNIL.
Le responsable du traitement devra toutefois:
- effectuer une AIPD qu’elle pourra conduire en s’aidant de ce référentiel pour s’assurer qu’elle est en ligne avec les recommandations préconisées par a CNIL.
- définir les bases légales de chaque finalité du traitement et effectuer les analyses nécessaires lorsque le traitement est basé sur l’intérêt légitime du responsable du traitement.
Les inconvénients/limites de ce document
Bien que ce référenciel soit un outil très utile pour les organismes, il est publié tardivement et ne remplace pas une AIPD.
En effet, beaucoup d’organisations ont mis en place leur dispositif d’alertes suite à l’adoption de la loi SAPIN il y a plus environ deux ans. Même s’il n’est pas contraignant, ce document reflète la position de la CNIL en la matière, il est donc vivement conseillé aux organismes concernés de s’assurer qu’il est conforme à ce référenciel, ce qui implique une nouvelle revue de leurs dispositifs.
Ce document aurait eu plus d’écho s’il avait été adopté au niveau européen. Ces dispositifs étant en général exigé en vertu de différentes lois extra-européeene (SOX etc.) et mis en place au niveau du groupe et non au niveau local, il aurait été préférable d’avoir une position commune des autorités. Des systèmes centralisés pouvant être difficilement adaptable à des positions divergentes d’autorités.
Il aurait également été intéressant que le document propose une analyse plus détaillée de certains points de son référentiel afin de limiter les efforts d’analyse des organismes (ex: base légale, analyse de l’intérêt légitime lorsqu’il s’applique).
Pour plus d’information, voir le site de la CNIL ici