CNIL, 21 septembre 2017, n° 2017-254

La Commission nationale de l'informatique et des libertés,

Saisie par la société BIOGEN France SAS d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la prévention du risque de corruption de ses fournisseurs ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 7-5° et 25-I-4° ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

Responsable du traitement

La société BIOGEN est l’un des leaders mondiaux du secteur des biotechnologies. Ses principaux domaines d’activité sont le développement de thérapeutiques destinées au traitement de certaines maladies. La maison mère est située aux Etats-Unis et est cotée au Nasdaq. L'ensemble des sociétés du groupe est soumis au Foreign Corrupt Practices Act (FCPA), loi fédérale américaine de 1977 visant à lutter contre la corruption d'agents publics à l'étranger.

Sur la finalité

Sur le fondement de l’article 25-I-4 de la loi du 6 janvier 1978 modifiée qui prévoit que sont soumis à autorisation préalable les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire, la Commission a été saisie par la société BIOGEN d’une demande d’autorisation relative à un traitement ayant pour finalité la prévention de la corruption et consistant à mettre en œuvre une procédure de vérifications portant sur les personnes avec lesquelles elle est en relation commerciale : les co-contractants, fournisseurs ou prestataires (sauf pour les biens de consommation courants ou commodités du type énergie). Cela inclut notamment les professionnels de santé qui, par exemple, participent aux études cliniques.

La Commission considère qu’il y a lieu d’analyser le traitement au regard de l’article 7-5° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements de données à caractère personnel peuvent être mis en œuvre notamment dans l'intérêt légitime du responsable de traitement, dès lors que celui-ci est établi, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux des personnes concernées.

La société BIOGEN se prévaut à l’appui de sa demande d’autorisation des dispositions du « Foreign Corrupt Practices Act » américain (ci-après FCPA) en date du 20 décembre 1977, du « UK Bribery Act », ci-après UKBA et des articles 435-3 et suivants du code pénal français.

Le renforcement des législations européennes et internationales en matière de lutte contre la corruption, en particulier dans le cadre des relations avec des agents publics, conduit des sociétés telles que BIOGEN à mettre en place un système de détection et de prévention de la corruption. En particulier, la loi britannique « UK Bribery Act » (UKBA) du 8 avril 2010 impose la mise en œuvre de procédures de contrôles préalables (« due diligence ») dans les entreprises multinationales dans le domaine de la lutte contre la corruption. Les sociétés françaises sont soumises à cette législation dès lors qu'elles ont une activité, même partielle, sur le territoire du Royaume-Uni, ou qu'elles sont partenaires de sociétés soumises à l’UKBA.

La société mère BIOGEN est soumise au FCPA non seulement en ce qui concerne ses propres activités, mais aussi au titre des sociétés non américaines qui lui sont affiliées.

Le traitement envisagé par la société BIOGEN vise à identifier les transactions qu’elle réalise avec d’autres professionnels présentant un risque de corruption par le biais d’un système reposant sur une évaluation progressive adaptée au risque encouru. En fonction des résultats du premier screening, si une alerte est remontée par l'outil, des vérifications complémentaires sont réalisées pour identifier les faux positifs.

Le traitement porte essentiellement sur des entités personnes morales et de manière ponctuelle sur une catégorie limitée de personnes physiques (« hommes clefs »), avec lesquelles la société BIOGEN est en relation commerciale : les co-contractants, fournisseurs ou prestataires.

Dans le cadre de la procédure de « due diligence », la société BIOGEN identifie parmi les co-contractants les personnes politiquement exposées (PPE) et celles qui y sont étroitement liées au sens de l’article R. 561-18 du code monétaire et financier et de la Directive européenne n°2015/849. Il est procédé à des vérifications sur les personnes identifiées comme PPE afin d’éviter les conflits d’intérêts entre un consultant commercial et un donneur d’ordre, potentiellement générateurs d’actes de corruption.

La société BIOGEN a recours à un prestataire externe de services. La procédure d’identification des risques liés à la corruption est graduée en fonction du risque détecté.

Les éléments d’information utilisés par ce prestataire procèdent de sources officielles nationales et internationales, des informations issues de la presse, des décisions de justice ou d’autorités publiques.

L’outil fourni par le prestataire de service est configuré de telle sorte que la société BIOGEN ne puisse disposer que des informations spécifiques à la lutte contre la corruption.

Les informations détectées lors de ces opérations de vérification peuvent conduire la société BIOGEN à limiter la relation commerciale à un périmètre donné ou à suspendre la transaction engagée avec les personnes concernées, après consultation des listes des personnes faisant l’objet de sanctions financières ou de mesures de restriction fournies par le prestataire.

La Commission considère que les vérifications portant sur ces listes doivent procéder d’une obligation légale et ne doivent porter que sur une catégorie de personnes déterminée au regard du risque encouru conformément au principe de proportionnalité. Elle rappelle qu’aucune décision de refus d’entrée en relation ne peut être prise sur la base des seuls éléments d’information recueillis par le biais de l’outil utilisé, qui devront faire l’objet d’un examen individuel, permettant de lever les cas d’homonymies, après collecte, le cas échéant, d’informations complémentaires.

La Commission considère que sont légitimes, les vérifications portant sur les listes des personnes faisant l’objet de sanctions financières ou de mesures de restriction appliquées en France et dans le pays d’établissement de la maison mère et émises par une autorité publique dès lors que la société BIOGEN est tenue de les appliquer.

Dans ces conditions, la Commission estime que le traitement répond à l’intérêt légitime du responsable du traitement conformément à l’article 7-5° de la loi du 6 janvier 1978 modifiée.

Sur les données traitées

Dans le cadre de la procédure de vérification préalable d’intégrité du partenaire commercial, la société BIOGEN collecte les données suivantes, concernant les personnes avec lesquelles elle est en relation commerciale :

-Nom et prénom ;

-Sexe

-nationalité

-Date et lieu de naissance (gestion des homonymies) ;

-Situation professionnelle et adresse ;

-L’existence ou l’absence d’occurrence dans la base de données du prestataire ;

-Données de connexion à l’outil de screening.

Le résultat positif ou négatif du screening est partagé au sein du groupe.

La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.

Sur les destinataires

Les opérations de vérification réalisées en France seront supervisées par les seules personnes habilitées, à savoir les managers, responsables juridiques, responsables de la conformité et auditeurs de la société BIOGEN, seuls ces deux derniers ont accès aux occurrences dans la base de données du prestataire (données en lien avec la corruption).

La Commission considère que ces destinataires ont un intérêt légitime à accéder aux données traitées.

Sur l’information et le droit d’accès

Les personnes concernées seront informées de la politique menée par BIOGEN en matière de lutte contre la corruption via une mention informative sur les courriers et documents remis aux co-contractants.

Les personnes concernées pourront exercer leurs droits d’accès, de rectification et d’opposition auprès de la société de la société BIOGEN France SAS situé au Capitole, 55 Avenue des champs pierreux, 92012 Nanterre.

Sur les mesures de sécurité

Des mesures sont prises afin de préserver la sécurité et la confidentialité des données et, notamment, empêcher que des tiers non autorisés y aient accès. Les accès au système d’information et les opérations effectuées sur les supports d’enregistrement des données sont tracés.

Les mesures de sécurité envisagées n’appellent pas d’observation particulière ; la Commission rappelle cependant la nécessité d’une mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Sur les autres caractéristiques du traitement

S’agissant de la durée de conservation, lorsqu’un contrat est conclu, les éléments analysés par la société BIOGEN sur la base des informations recueillies et sélectionnées, lors des étapes de vérification, sont conservés en base active pendant 90 jours à compter de l’évaluation, quel que soit le niveau du risque identifié. Les données sont ensuite archivées pendant dix ans pour pouvoir justifier, le cas échéant, des diligences auprès des autorités compétentes.

Autorise, conformément à la présente délibération, la société BIOGEN France SAS à mettre en œuvre le traitement susmentionné.