• Home  / 
  • DELIBERATION 2009-572

DELIBERATION 2009-572

By Thiébaut Devergranne / 5 years ago

(Demande d’autorisation n°1374120)
La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu la délibération de la CNIL n°2005-305 du 8 décembre 2005 portant autorisation unique AU-004 de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle ;
Vu la demande d’autorisation, présentée par la Compagnie de Saint-Gobain, d’un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle ;
Sur le rapport de M. Hubert BOUCHET, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement ;
Formule les observations suivantes :
La Compagnie de Saint-Gobain a déposé un dossier de demande d’autorisation de mise en œuvre d’un dispositif de traitement de données à caractère personnel dénommé « dispositif d’alerte professionnelle » ayant pour finalité la mise en place d'une boîte aux lettres électronique accessible uniquement via l’intranet du groupe et permettant aux employés de signaler des manquements graves aux règles applicables afin de limiter les risques que le groupe Saint-Gobain pourrait encourir de ce fait.
Le dispositif d’alerte envisagé a vocation à être utilisé au niveau mondial par l’ensemble des entités du groupe Saint-Gobain. Le groupe souhaite notamment exercer son activité en se fondant sur une charte qu’il a élaborée et dénommée « Principes de Comportement et d’Action ». Cette charte a vocation à s’appliquer à l’ensemble des pays où le groupe est implanté.
La Commission prend acte du fait que le groupe Saint-Gobain ne réalise aucun transfert de données à caractère personnel à destination de pays situés en dehors de l’Union Européenne.
Elle considère qu’il y a lieu de faire application des dispositions de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
La Commission rappelle qu’elle a adopté, le 8 décembre 2005, une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle.
Elle prend acte de l’engagement de la société Saint-Gobain de respecter les dispositions de cette autorisation unique mais constate que le traitement envisagé ne répond pas aux exigences prévues par l’article 1er de ladite autorisation.
En effet, les faits susceptibles d’être recueillis dans le cadre de ce dispositif sont les manquements graves relatifs aux domaines suivants :
1) financier, comptable, fiscal, bancaire, des détournements d’actifs, et de lutte contre la corruption ;
2) règles et procédures contenues dans le « Référentiel de contrôle interne du Groupe » mises en place par Saint-Gobain et préconisées par l’AMF pour les sociétés cotées à la bourse de Paris ;
3) droit de la concurrence.
D’autres manquements graves aux « Principe de comportement et d’action » du groupe Saint-Gobain peuvent également être signalés lorsque l’intérêt vital du groupe est mis à risque dans les domaines suivants :

  • le manquement au respect des droits de l’Homme, tels que visés dans la Déclaration des droits de l’Homme adoptée par l’Assemblée générale des Nations Unies le 10 décembre 1948, qui intègre notamment le principe de lutte contre les discriminations ;
  • la violation de la réglementation sur l’Environnement-Hygiène-Sécurité ;
  • l’exclusion des conflits d’intérêt ;
  • l’interdiction de participer au titre d’une entité du Groupe, à toute forme de financement politique ;
  • l’interdiction du recours au travail forcé, au travail obligatoire ou au travail des enfants, principe de liberté syndicale, conformément aux conventions et recommandations de l’Organisation Internationale du Travail (OIT)
  • les risques graves pour la sécurité informatique de l’entreprise, la divulgation d’informations stratégiques strictement confidentielles et l’atteinte aux droits de propriété intellectuelle du groupe Saint-Gobain.

ou lorsque l’intégrité physique ou morale d’une personne est concernée.
Il est précisé que les faits recueillis sont strictement limités aux domaines listés ci-dessus.
La demande de la société Saint-Gobain n’étant pas complètement conforme à l’autorisation unique n°4, la Commission doit procéder à une analyse spécifique du traitement soumis à son appréciation, au regard des principes relatifs à la protection des données à caractère personnel, et notamment, de l’article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
La Commission constate que l’utilisation du dispositif d’alerte demeure facultative et complémentaire par rapport aux autres modes classiques de signalement des dysfonctionnements de l’entreprise (via notamment la voie hiérarchique, les représentants du personnel, ou les autorités compétentes).
En particulier, elle relève que cette utilisation est :
- limitée, sauf raison exceptionnelle, aux cas où le manquement a déjà été signalé, sans résultat, aux modes classiques de signalement,
- facultative, aucune sanction ne pouvant être prise à l’encontre d’un salarié en cas de non-utilisation du dispositif.
La Commission prend acte du fait que le dispositif est interne au groupe Saint-Gobain et qu’il n’est pas fait appel à un prestataire externe pour le recueil et la gestion des alertes.
Enfin, la Commission constate que le dispositif ne permet pas d’émettre des signalements anonymes. L’émetteur de l’alerte doit nécessairement s’identifier sur l’intranet du groupe pour signaler des faits. Son identité est par la suite traitée de façon confidentielle par les personnes habilitées chargées du recueil des alertes.
Elle observe également qu’il est clairement rappelé que l’utilisation abusive de ce dispositif peut exposer son auteur à des sanctions disciplinaires, ainsi qu’à des poursuites judiciaires.
La Commission considère, en l’espèce, que l’obligation de s’identifier pour la personne à l’origine de l’alerte est de nature à limiter les risques de mise en cause abusive ou disproportionnée de l'intégrité professionnelle voire personnelle des employés concernés.
Compte tenu de ce qui précède, elle estime que le traitement envisagé est conforme l’article 6-3° de la loi du 6 janvier 1978 modifiée.
Les droits d’accès et de rectification s’exercent auprès du Correspondant Conformité à l’adresse suivante : Direction du développement responsable, Compagnie de Saint-Gobain, 18 avenue d’Alsace, 92400 Courbevoie.
Les catégories de données à caractère personnel enregistrées sont identiques à celles mentionnées dans l’autorisation unique n°4 (Délibération n°2005-305 du 8 décembre 2005).
Les destinataires des informations sont, dans la limite de leurs attributions et pour la finalité précitée, les « Correspondants conformité » désignés en nombre limité et soumis à une obligation renforcée de confidentialité.
Dans ces conditions, la Commission autorise la Compagnie Saint Gobain à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle.

Le Président,

Alex TURK

About the author

Thiébaut Devergranne

Thiébaut Devergranne est docteur en droit et consultant. Il travaille en droit des nouvelles technologies depuis plus de 10 ans, dont 6 passees au sein des services du Premier ministre. En savoir plus.

Click here to add a comment

Leave a comment: