[actus_l] La CNIL rappelle les règles pour les dispositifs d’alerte professionnelle

http://www.cnil.fr/index.php?id=2201

La CNIL rappelle les règles pour les dispositifs d’alerte professionnelle

08/03/2007 - Communiqué

Après la remise hier au Ministre délégué à l’emploi, Gérard Larcher, d’un
rapport sur les systèmes de « délation au travail », la CNIL rappelle que dans
un document d’orientation adopté en novembre 2005, la Commission avait déjà
défini les conditions de conformité des dispositifs d’alerte professionnelle
(« whistleblowing ») à la loi « informatique et libertés » : un champ
restreint, la dissuasion des dénonciations anonymes, une organisation
spécifique pour traiter les alertes, l’information de la personne concernée
dès que les preuves ont été préservées. Depuis, la CNIL a autorisé des
centaines de dossiers conformes aux règles qu’elle a fixées.

Le 10 novembre 2005, la CNIL a adopté un document d’orientation définissant
les conditions que doivent remplir les dispositifs d’alerte professionnelle
pour être conformes à la loi  informatique et libertés modifiée en août 2004
et compatibles avec les exigences de la loi Sarbanes Oxley. La CNIL en effet
n’a pas d’opposition de principe à de tels dispositifs dès lors que les droits
des personnes mises en cause dans une alerte sont garantis au regard de la
loi  informatique et libertés.

Dans une seconde étape, la CNIL a adopté une décision d’autorisation unique
des dispositifs conformes aux orientations retenues par elle afin de
simplifier les formalités pour les entreprises. A ce jour, ce sont près de 600
entreprises françaises et étrangères qui ont déclaré avoir mis en place des
dispositifs conformes aux règles fixées par la CNIL. Quelles sont les
principales règles que la CNIL recommande aux entreprises d’adopter ?
Restreindre le dispositif d’alerte à un champ spécifique : ce champ est
aujourd’hui défini comme celui du domaine comptable, du contrôle des comptes,
bancaire et de la lutte contre la corruption (des alertes pouvant être
exceptionnellement recueillies et traitées si elles s’avèrent concerner
l’intérêt vital de l’entreprise ou l’intégrité physique ou morale des
salariés).

Dans ces conditions, on comprendra que le champ d’application ne s’étend ni
aux vols mineurs, ni à des comportements (passer du temps sur internet ou à la
machine à café), ni aux informations concernant la moralité de la personne ou
relevant de la sphère privée (engagement associatif, sexualité, relations
personnelles sur le lieu de travail), ni aux désaccords entre les salariés.

    *
      Ne pas encourager les dénonciations anonymes
    *
      Mettre en place une organisation spécifique pour recueillir et traiter
les alertes
    * Informer la personne concernée dès que les preuves ont été préservées

Le groupe des autorités européennes de protection des données personnelles,
dit groupe de l’article 29, a adopté le 1er février 2006 un avis sur les
dispositifs d’alerte professionnelle dans des domaines spécifiques (financier,
comptable, bancaire, lutte contre le blanchiment). Ce document reprend les
grandes lignes du document d’orientation et de l’autorisation unique émis par
la CNIL en novembre et décembre 2005. Lors d’une conférence de presse
organisée à Paris le 9 mars 2006, Peter Schaar, Président du G29 et Alex Türk,
Président de la CNIL, ont présenté cet avis.

Dernière modification : 08/03/07  


_____
Liste de diffusion d'informations relatives à l'informatique et aux libertés
Info, dés/abonnement : http://listes.samizdat.net/sympa/info/actus_l