CNIL, 15 mars 2018, n° 2018-093

La Commission nationale de l'informatique et des libertés,

Saisie par la société ELANCO FRANCE SAS d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la détection et la prévention de la corruption conformément aux législations anti-corruption américaine, britannique et française et en application des accords internationaux ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25.I.4 et 69 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Marie-Hélène MITJAVILLE, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

Responsable du traitement

La société ELANCO FRANCE SAS spécialisée dans le secteur d'activité de la fabrication de préparations pharmaceutiques et filiale de la société LILLY FRANCE SAS.

Sur la finalité

La société ELANCO FRANCE SAS a saisi la Commission d’une demande d’autorisation sur la base de l’article 25-I-4 de la loi du 6 janvier 1978 modifiée qui prévoit que sont soumis à autorisation préalable les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.

La convention de l’OCDE et celle des Nations Unies, les législations américaine du 20 décembre 1977 « Foreign Corupt Practices Act » (FCPA), britannique « UK Bribery Act » (UKBA) du 8 avril 2010 et française « Loi Sapin II » du 9 décembre 2016 ont entraîné l’introduction de pratiques de contrôles préalables dans les grandes entreprises pour leur activité internationale, tandis que des lois locales leur imposent des pratiques comparables pour leurs activités purement nationales.

La société mère ELI LILLY & CO, cotée à la bourse de New-York (NYSE) est soumise au FCPA non seulement en ce qui concerne ses propres activités, mais aussi au titre des sociétés non américaines dans le monde entier avec lesquelles elle est affiliée.

Le UKBA a également une application extraterritoriale par ses activités sur le territoire du Royaume-Uni. Enfin, l’ensemble du groupe est également soumis aux lois Sarbanes-Oxley (SOX) pour lesquelles la Security Exchange Commission (SEC) a un rôle de contrôle.

Enfin, l’article 17 de la Loi Sapin II impose aux « grandes » entreprises et à leurs dirigeants de mettre en place en interne huit mesures préventives anticorruption qui peuvent être classées selon trois catégories et objectifs différents et qui constituent le « plan anticorruption ».

La Commission relève que la société ELANCO FRANCE SAS, filiale d’une société américaine et pour laquelle une partie de ses activités sont établies au Royaume-Uni, peut faire l’objet d’amendes, de pénalités et de condamnations prononcées par le département de la justice américain (DOJ), la SEC (US) et les autorités judiciaires britanniques pour ne pas avoir mis en œuvre de moyens suffisants ou adéquats pour prévenir un acte de corruption.

Le renforcement des législations européenne, internationale et désormais françaises en matière de lutte contre la corruption, en particulier dans le cadre des relations avec des agents publics, ont conduit la société mère à mettre en place un système de détection et de prévention de la corruption applicable pour toutes les filiales du Groupe.

Le traitement envisagé concerne les personnes suivantes : les fournisseurs, les prestataires et leurs dirigeants, les contacts et les personnes clés, les partenaires commerciaux, les clients, les relations d’affaires et les actionnaires propriétaires de plus de 15% du capital.

Le dispositif permet d’une part pour une transaction considérée à risque, c’est-à-dire l’intervention potentielle au nom de la société ELANCO FRANCE SAS d’un fournisseur auprès des agents publics ou équivalents, d’interroger le fournisseur :

sur ses liens existants avec des agents publics ou équivalents ;

sur la présence d’un agent public ou équivalent au sein de son organisation ;

ainsi que sur sa capacité à influencer des décisions concernant les produits ELANCO FRANCE SAS ou des autorisations relatives à l’activité de la société ELANCO FRANCE SAS,

Et, d’autre part, d’identifier le risque présenté par la situation d’un fournisseur, d’un partenaire, ou d’une personne morale bénéficiaire d’un don ou d’une subvention.

Le système repose sur des questionnaires progressifs adaptés au risque encouru (« Low, Medium, High »).

Si les réponses au premier questionnaire font ressortir un risque de corruption, d’autres questionnaires plus approfondis sont utilisés de manière à apporter des précisions supplémentaires nécessaires à l’évaluation du risque de corruption (« Medium, High »).

Le formulaire « securimate » permet, via une recherche externe auprès de sources publiques, par exemple les listes du bureau de l’industrie et de la sécurité des Etats-Unis, de prendre connaissance de l’implication du fournisseur / partenaire dans des actes de corruption. En fonction des réponses aux questionnaires, il peut être mis à jour des points de vigilance particuliers (dits « Red Flags ») à prendre en compte de manière à assurer une protection contre le risque de corruption.

Les niveaux de risque évalués prennent notamment en compte le classement du pays concerné tel qu’évalué par Transparency International (Corruption Perception Index). Le score détermine les 3 niveaux de risque ainsi que les dispositions préventives à envisager (par exemple : clauses contractuelles additionnelles, formations, plan de suivi de certaines obligations du prestataire ou partenaire).

La Commission observe que l’outil n’est qu’une aide à la décision et que par conséquent, aucune décision de refus d’entrée en relation avec l’entité ne sera prise sur la seule base des informations recueillies par le biais de l’outil utilisé, quel que soit le score calculé. Une analyse individuelle permet de lever les cas d’homonymie et évalue la nécessité de collecte potentielle d’informations complémentaires est réalisée.

La Commission estime que le traitement répond à l’intérêt légitime du responsable du traitement conformément à l’article 7-5° de la loi du 6 janvier 1978 modifiée.

Sur les données traitées

Dans le cadre de la procédure de vérification préalable d’intégrité du partenaire commercial, la société ELANCO FRANCE SAS collecte les données suivantes portant sur des contacts professionnels, des dirigeants ou des actionnaires principaux :

Données d’identification : nom, prénom, genre, adresse postale et électronique, date et lieu de naissance, nationalité.

Données liées à la vie professionnelle :

liens avec un gouvernement, avec des entités publiques, avec des organisations à but non lucratif ou avec des fonctionnaires ;

intérêts dans l’entreprise ELANCO FRANCE SAS ou influence sur le devenir des produits et/ou activités ;

pourcentage du capital de l’entreprise pour les actionnaires significatifs (>15%).

Informations d’ordre économique et financier :

solvabilité ;

références bancaires ;

existence d’un embargo ;

informations relatives aux précédentes interactions avec le partenaire.

Données de connexion : identifiants de connexion et informations d’horodatage afin de tracer les journaux de connexion à l’outil.

La Commission relève que le questionnaire mentionne également le fait pour une personne d’avoir une représentation officielle ou d’exercer une mission officielle pour un parti politique, sans toutefois, préciser son identité.

Dans le cadre d’un « Red flag », la fonction rendue publique par la personne pourra être collectée au travers des recherches complémentaires.

S’agissant des questionnaires « securimate » correspondant à l’identification d’un risque, les données collectées sont les suivantes :

les données d’identification des membres du directoire et des principaux contacts professionnels devant intervenir dans le cadre de la prestation ;

la réputation de la société (contentieux lié à la corruption);

l’historique et le type de relation (consultant, distributeur, partenaire de co-entreprise, dépositaire, sous-traitants, fournisseur, autre) de la société avec le groupe LILLY ;

les relations de la société avec des services officiels ou gouvernementaux.

La collecte de données personnelles est limitée aux seules données nécessaires pour permettre l’évaluation du risque de corruption.

La mention suivante figure sur les questionnaires avant toute zone à texte : « Notez uniquement les informations objectives et fiables et seulement si c’est nécessaire ; ne notez aucune information relative à des infractions ou condamnations concernant des personnes physiques ».

Seuls des liens vers des informations déjà rendues publiques ou des coupures de presse seront inclus dans les rapports afin de permettre de justifier auprès des autorités des investigations menées dans le cadre de la procédure « securimate ».

La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.

Sur les destinataires

Les opérations seront supervisées par le Directeur Ethique et Compliance de la société ELANCO FRANCE SAS. Il assure le déploiement et la bonne application des règles au niveau local.

Chaque teneur de compte (commercial, acheteur) n’accède qu’aux questionnaires relatifs à son portefeuille.

Les personnes destinataires des données sont les membres de l’équipe Ethique et compliance en France et aux Etats Unis (groupe spécialisé dans le traitement des sujets anticorruption), à titre exceptionnel les départements juridiques ainsi que les services d’audit.

Il existe une cellule dédiée composée de personnels spécialisés au sein de la maison-mère américaine ayant accès aux données des questionnaires. Le transfert est encadré par des clauses contractuelles types élaborées par la Commission européenne.

Auront également accès aux données, les services Ethique et Compliance des autres entités du groupe pour les seuls partenaires commerciaux communs et pour les seules données relatives aux résultats de l’évaluation d’intégrité.

La Commission considère que ces destinataires ont un intérêt légitime à accéder aux données traitées.

Sur l’information et le droit d’accès

Les contrats commerciaux concernés comportent un article spécifique qui mentionne l’existence du programme de lutte contre la corruption.

Les questionnaires soumis aux partenaires commerciaux comportent une mention d’information relative aux droits des personnes.

Un contact et une adresse email dédiés seront mis en place de manière à permettre aux personnes concernées de mettre à jour leurs données, de les corriger ou d’en obtenir une copie.

Les personnes concernées pourront exercer leurs droits d’accès, de rectification et d’opposition auprès du service Ethique et compliance à l’adresse suivante : 24, boulevard Vital Bouhot - 92521 NEUILLY SUR SEINE.

Sur les mesures de sécurité

Des mesures de sécurité sont prises afin de préserver la sécurité et la confidentialité des données et, notamment, empêcher que des tiers non autorisés y aient accès. Les accès au système d’information et les opérations effectuées sur les supports d’enregistrement des données sont tracées.

Les mesures de sécurité envisagées n’appellent pas d’observations particulières.

Sur les transferts

Le processus de vérification fait intervenir un prestataire extérieur situé hors Union européenne. Les transferts des données vers les Etats-Unis sont encadrés par le « Privicy shield ».

Sur les autres caractéristiques du traitement

Les données issues des questionnaires et des documents générés par la procédure de vérification sont conservés pour une durée de 3 ans après la finalisation du processus d’évaluation de l’intégrité, et le cas échéant de la clôture des dossiers comportant un risque particulier (« Red flags »).

La Commission relève que cette durée correspond à celle pendant laquelle la vérification d’un partenaire est considérée comme valable.

Les données seront ensuite archivées pendant 7 ans pour pouvoir justifier des diligences auprès des autorités, notamment dans le cadre de procédures judiciaires. Elles seront alors d’accès très limité.

Autorise, conformément à la présente délibération, ELANCO FRANCE SAS à mettre en œuvre le traitement susmentionné.