Traitement des signalements et protection des données personnelles 

En ce qui concerne l’aspect relatif au traitement des données personnelles, le décret du 19 avril 2017 impose que la procédure de recueil des signalements mentionne l’existence d’un traitement automatisé des signalements mis en œuvre « après autorisation de la CNIL ».

A cet égard, la question se pose de savoir si l’on peut considérer que ce dispositif entre dans le cadre de l’autorisation unique n°AU-004 de la CNIL « portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle », qui est en réalité une procédure déclarative simplifiée.

En vertu de cette autorisation unique, peuvent bénéficier d’un engagement de conformité les organismes mettant en œuvre des traitements automatisés de données à caractère personnel ayant pour finalité le signalement et le traitement d’alertes, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime dans ces domaines, dans certains domaines précis (financier, comptable, bancaire et de lutte contre la corruption, pratiques anticoncurrentielles, lutte contre les discriminations et le harcèlement au travail, santé, hygiène et sécurité au travail, protection de l’environnement).

Les dispositifs d’alerte portant sur d’autres domaines doivent faire l’objet d’une autorisation préalable spécifique.

La CNIL n’a pour le moment publié aucune indication concernant le champ d’application de cette autorisation ni ses modalités d’obtention.

Elle devrait toutefois apporter des clarifications d’ici la fin de l’année dans la mesure où le décret entrera en vigueur le 1er janvier 2018.

En tout état de cause, les procédures de signalement doivent respecter les règles et principes généraux de la protection des données personnelles.

L'Equipe

Pour toute demande d'information cabinet_at_jpkarsenty_dot_com