Plan du site | Mentions légales | Crédits | Espace rédacteur

Membre du comité de rédaction de la lettre du CEJEM

Nos mots-clefs

Noms de domaine   Conférences et colloques   Signes distinctifs   Consommateurs   Vie privée   Marques   Régulation   Au jour le jour   Contrats   Droit d’auteur   Bases de données   Contenu illicite   Professions   Brevet   Lettre du Cejem  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

Simplification des formalités devant la CNIL pour les dispositifs d’alerte professionnelle

Adoption de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatises de données a caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004)

Mots-clefs : Vie privée |

par Vanessa Younès, le jeudi 23 février 2006

Après avoir refusé d’autoriser des dispositifs d’alerte éthique au printemps 2005 [1], la CNIL a adopté dans un premier temps un document d’orientation le 10 novembre 2005, pour encadrer le procédé, et dans un second temps, la décision unique du 8 décembre 2005, permettant de simplifier les formalités à respecter, afin notamment que les filiales françaises d’entreprises américaines puissent se conformer à la loi française Informatique et libertés et aux dispositions de la loi américaine Sarbanes-Oxley.

La CNIL recommande dans son document d’orientation du 10 novembre 2005 aux filiales d’entreprises américaines qui mettent en œuvre des dispositifs d’alerte professionnelle de :
-  restreindre le dispositif d’alerte au domaine comptable, du contrôle des comptes, bancaire et de la lutte contre la corruption
-  ne pas encourager les dénonciations anonymes et donc d’identifier l’émetteur de l’alerte
-  mettre en place une organisation spécifique pour recueillir et traiter les alertes
-  informer la personne concernée dès que les preuves ont été préservées.

Le 8 décembre 2005, la CNIL a adopté un modèle d’autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle.

Que faut-il comprendre par autorisation unique ?

L’article 25-II de la loi n°78-17 du 6 janvier 1978 relative à l’Informatique, aux fichiers et aux libertés modifiée en 2004 prévoit que les traitements qui répondent à une même finalité, portent sur des catégories de données identiques et ont les mêmes destinataires ou catégories de destinataires, peuvent être autorisés par une décision unique de la CNIL. Dans ce cas, le responsable de chaque traitement adresse à la CNIL un engagement de conformité de celui-ci à la description figurant dans l’autorisation.

La CNIL simplifie donc la procédure de formalités dans la mesure où les traitements disposant de dispositifs d’alerte professionnelle doivent faire l’objet d’une demande d’autorisation à la CNIL, en raison du fait qu’ils sont susceptibles « d’exclure des personnes d’un droit » (art. 25, I, 4°).

Or, grâce à cette autorisation unique, l’entreprise dont le traitement mettant en œuvre un dispositif d’alerte professionnelle rentre dans le champ d’application de cette décision unique, ndevra faire que d’une déclaration simplifiée de conformité appeléé « engagement de conformité » pouvant s’effectuer en ligne auprès de la CNIL [2].

Cette décision unique vaut également, sous certaines conditions [3], autorisation de transfert de données vers des pays n’appartenant pas à l’Union européenne.

La CNIL précise dans son communiqué du 28 décembre 2005 que si le dispositif d’alerte professionnelle envisagé sort du cadre fixé par la décision d’autorisation unique, l’entreprise doit adresser à la CNIL un dossier complet de déclaration normale ce qui est surprenant sachant qu’il précisé à l’article 11 de la délibération du 8 décembre 2005 que tout dispositif d’alerte professionnelle prévoyant la mise en œuvre de traitement de données à caractère personnel ne répondant pas aux dispositions de la décision unique doit faire l’objet d’une demande d’autorisation auprès de la CNIL dans les formes prescrites par les articles 25-1 4° et 30 de la loi Informatique et libertés modifiée.

De la même façon, les traitements qui nécessitent au regard de la loi « Informatique et libertés » d’une autorisation de la CNIL doivent faire l’objet d’une demande d’autorisation à la CNIL, si celle-ci n’a pas adopté de modèle de décision d’autorisation unique sur lesdits traitements.

Depuis l’adoption de la loi de 2004, ayant modifié la « Informatique et libertés », l’a décision ici commentée est la troisième décision d’autorisation unique adoptée par la CNIL [4].

Notes

[1] cf article « Réaction de la CNIL sur le projet d’alerte éthique dans les filiales d’entreprises américaines

[2] cf site de la CNIL http://www.cnil.fr

[3] adhésion au Safe Harbor, conclusion de clauses contractuelles de transfert de données, adoption de règles internes garantissant un niveau de protection suffisant des droits fondamentaux

[4] cf délibération n°2005-233 du 18 octobre 2005 portant autorisation unique de mise en œuvre par le centre national des œuvres universitaires et scolaires d’un traitement automatisé de données à caractère personnel ayant pour finalité la gestion des aides ponctuelles allouées aux étudiants dans le cadre de l’action sociale et le suivi statistique de l’activité de services sociaux des centres régionaux des œuvres universitaires et scolaires (AU-002) et délibération n°2004-105 du 14 décembre 2004 portant autorisation unique de traitement de données à caractère personnel comportant un système d’information géographique mis en œuvre par les collectivités locales ou leurs groupements (cadastre et urbanisme) (AU-001)