CNIL, 1 décembre 2016, n° 2016-354

La Commission nationale de l'informatique et des libertés,

Saisie par la société VALLOUREC d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la prévention du risque de corruption ; Vu la convention n°108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ; Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 7-5° et 25-I-4 ; Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ; Vu le dossier et ses compléments ; Sur la proposition de Mme Marie-Hélène MITJAVILE, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement, Formule les observations suivantes :

Responsable du traitement

La société VALLOUREC est leader mondial des produits et solutions tubulaires. Le groupe VALLOUREC sert principalement les marchés de l’énergie (pétrole et gaz, énergie électrique). Son expertise s’étend également au secteur de l’industrie (mécanique, automobile et construction).

Sur la finalité

Sur le fondement de l’article 25-I-4 de la loi du 6 janvier 1978 modifiée qui prévoit que sont soumis à autorisation préalable les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire, la Commission a été saisie par la société VALLOUREC d’une demande d’autorisation relative à un traitement ayant pour finalités la détection et la prévention de la corruption et la maîtrise de la relation commerciale avec les partenaires commerciaux. Elle entend ainsi se conformer aux législations anti-corruption américaine et britannique ainsi qu’aux codes de commerce et pénal français en matière de corruption. Le partenaire commercial désigne toute personne morale ou physique notamment, un agent, un fournisseur, un consultant, un partenaire de société commune qui agit pour le compte d’une société du groupe, en établissant, à minima, des contrats avec des agents publics ou des personnes privées pour le développement, la conclusion, la pérennisation ou la conduite à terme des affaires de la société du groupe.

La Commission considère qu’il y a lieu d’analyser le traitement au regard de l’article 7-5° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements de données à caractère personnel peuvent être mis en œuvre notamment dans l'intérêt légitime du responsable de traitement, dès lors que celui-ci est établi, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux des personnes concernées.

La société VALLOUREC se prévaut à l’appui de sa demande d’autorisation des dispositions du « Foreign Corrupt Practices Act » américain (ci-après FCPA) en date du 20 décembre 1977, du « UK Bribery Act », ci-après UKBA et des articles 433-1, 435-2 et suivants, 445-1 du code pénal ainsi que de l’article 225-37 du code de commerce français. Le renforcement des législations européennes et internationales en matière de lutte contre la corruption, en particulier dans le cadre des relations avec des agents publics, conduit des sociétés telles que VALLOUREC à mettre en place un système de détection et de prévention de la corruption. En particulier, la loi britannique « UK Bribery Act » (UKBA) du 8 avril 2010 impose la mise en œuvre de procédures de contrôles préalables (« due diligence ») dans les entreprises multinationales dans le domaine de la lutte contre la corruption. Les sociétés françaises sont soumises à cette législation dès lors qu'elles ont une activité, même partielle, sur le territoire du Royaume-Uni, ou qu'elles sont partenaires de sociétés soumises à l’UKBA. La société VALLOUREC est soumise aux lois anti-corruption notamment du fait de l’existence de filiales anglaises et américaines et de l’obligation qui lui est faite de disposer de procédures de contrôle interne et de gestion des risques. Afin d’assurer la conformité du groupe à ses dispositions, la société VALLOUREC a mis en place une politique et des procédures internes encadrant les relations avec les partenaires commerciaux et par ses filiales. Le traitement envisagé par la société VALLOUREC vise à identifier les partenaires commerciaux présentant un risque de corruption, par le biais d’un système reposant sur une évaluation progressive adaptée au risque encouru. La société VALLOUREC souhaite vérifier l’intégrité des partenaires commerciaux en leur soumettant notamment une demande préalable de renseignement contractuel. Dans le cadre de la procédure de vérification, l’étendue des vérifications effectuées à l’égard de chaque partenaire commercial est graduée au travers d’une approche par les risques. Cette approche par le risque est réalisée de façon différenciée en fonction de la nature des partenaires et débute par l’identification du risque. Pour les fournisseurs de la société VALLOUREC, l’identification des partenaires susceptibles de présenter un risque repose sur une appréciation préalable du risque en fonction de critères prédéfinis liés au montant de l’engagement envisagé, au pays et à la nature du partenaire, à la durée du contrat ou à son objet. Ceux des fournisseurs qui ne sont correspondent pas à ces critères ne font pas l’objet de procédures complémentaires. Dans tous les autres cas et pour l’ensemble des partenaires de société commune, les consultants et agents commerciaux une demande de renseignement adaptée est adressée. L’analyse des données est réalisée par une application dédiée qui détermine en fonction des réponses un score selon trois niveaux. Au niveau inférieur, aucun risque n’est identifié et la société ou sa filiale peut entrer en relation commerciale. Dans les autres cas, qui correspondent à un risque moyen ou élevé, des investigations doivent être menées par le responsable juridique en relation avec le responsable de compte. Dans le cas des risques estimés moyens par le système dédié le directeur juridique peut, après investigation, établir l’absence de risque ou soumettre au Comité d’éthique du groupe VALLOUREC, lorsqu’il estime que le risque est avéré. Pour les cas où les risques estimés sont importants, seul le Comité d’éthique du groupe VALLOUREC peut décider, après investigations complémentaires, de contracter ou de rejeter la relation contractuelle avec le partenaire. Le consultant commercial indique notamment s’il a parmi ses parents et alliés de 1er et 2nd degré des personnes politiquement exposées (« ci-après « PPE » au sens de l’article R. 561-18 du code monétaire et financier). En fonction de ses réponses et de l’analyse des risques réalisée par l’opérationnel, une vérification est faite sur les personnes identifiées comme PPE par le consultant commercial, ou les personnes qui de notoriété publique sont PPE afin d’éviter les conflits d’intérêt entre un consultant commercial et un donneur d’ordre, potentiellement générateurs d’actes de corruption. L’analyse du risque se fait à l’aide des outils suivants : la liste des Pays et Territoires non coopératifs arrêtée par le GAFI ; le répertoire interne des consultants commerciaux (répertoire centralisé et tenu à jour par la direction éthique et compliance de VALLOUREC) ; la recherche sur Internet et la consultation des bases de données ; les entretiens préliminaires éventuels avec le consultant commercial ; les échanges avec le consultant commercial concernant la demande de renseignements contractuels. Les investigations complémentaires sont menées par le directeur juridique en coopération avec le responsable de compte, en fonction du risque identifié, par une deuxième étape dite de « diligence » où la société VALLOUREC procède à des vérifications approfondies en ayant recours à des sources externes : agences de diligences, cabinets d’avocats, chambre de commerce. Cette étape se matérialise par la production d’un « rapport de diligence » portant sur les caractéristiques du consultant commercial. Le rapport de diligence du consultant commercial est validé par la direction juridique et/ou la direction générale en fonction de son importance. A défaut de validation le recours au consultant est rejeté et le contrat ne sera pas signé.

La société VALLOUREC a recours à des bases de données informationnelles, notamment celles proposées par des prestataires externes spécialisés dans la gestion des programmes de conformité. L’accès à ces bases de données est configuré de telle sorte que la société VALLOUREC ne puisse disposer que des informations spécifiques à la lutte contre la corruption.

La Commission considère que les vérifications portant sur ces bases de données doivent procéder d’une obligation légale et ne doivent porter que sur une catégorie de personnes déterminée au regard du risque encouru conformément au principe de proportionnalité. Elle rappelle qu’aucune décision de refus d’entrée en relation ne peut être prise sur la base des seuls éléments d’information recueillis par le biais de l’outil utilisé, qui devront faire l’objet d’un examen individuel, permettant de lever les cas d’homonymies, après collecte, le cas échéant, d’informations complémentaires. La Commission considère que sont légitimes les vérifications portant sur les listes des personnes faisant l’objet de sanctions financières ou de mesures de restriction appliquées en France et dans le pays d’établissement de la maison mère et émises par une autorité publique dès lors que la société VALLOUREC est tenue de les appliquer.

Dans ces conditions, la Commission estime que le traitement répond à l’intérêt légitime du responsable du traitement conformément à l’article 7-5° de la loi du 6 janvier 1978 modifiée.

Sur les données traitées

Dans le cadre du questionnaire les catégories de données collectées sont les suivantes : information relatives à la personne morale : Structure juridique, nationalité ; date de création de la société et lieu d’immatriculation (Kbis ou équivalent), Informations bancaires ; nom, prénom, titre, adresse, numéro de téléphone et adresse courriel du contact chez le partenaire; actionnariat, dirigeants et personnes les personnes capables d’exercer une influence sur la conduite des affaires ou les personnes détentrices d’une autorité dans le cadre de la gestion, du contrôle et de la surveillance ; vie économique de la société partenaire : notamment nombre d’employés, les implantations, filiales et territoires de commercialisation des produits et services ; clients ; présence éventuelle d’une « personne politiquement exposée » ; contentieux de la société portant sur des faits de corruption ou de blanchiment d’argent, relations de la société avec des services officiels ou gouvernementaux y compris les risques liés à la conclusion du contrat; informations rendues publiques : information relatives à la personne morale : Structure juridique, nationalité ; date de création de la société et lieu d’immatriculation (Kbis ou équivalent), Informations bancaires ; nom, prénom, titre, adresse, numéro de téléphone et adresse courriel du contact chez le partenaire; actionnariat, dirigeants et personnes les personnes capables d’exercer une influence sur la conduite des affaires ou les personnes détentrices d’une autorité dans le cadre de la gestion, du contrôle et de la surveillance ; vie économique de la société partenaire : notamment nombre d’employés, les implantations, filiales et territoires de commercialisation des produits et services ; clients ; présence éventuelle d’une « personne politiquement exposée » ; contentieux de la société portant sur des faits de corruption ou de blanchiment d’argent, relations de la société avec des services officiels ou gouvernementaux y compris les risques liés à la conclusion du contrat; informations rendues publiques : information sur le partenaire : coordonnées complètes du représentant désigné: nom, prénom, adresse, titre, numéro de téléphone, adresse de courriel ainsi que celles des actionnaires et personnes disposant d’un pouvoir de supervision ou d’engagement de la société ; expérience du consultant commercial ; réputation professionnelle du consultant commercial ; éthique du consultant commercial : existence de contentieux liés à la corruption. Les éléments d’information utilisés par les organismes extérieurs auxquels a recours VALLOUREC procèdent de sources officielles nationales et internationales, des informations issues de la presse, des décisions de justice ou d’autorités publiques.

La Commission considère que les données traitées sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie.

Sur les destinataires

Les destinataires de tout ou partie des données collectées dans le cadre des opérations de vérification sont les suivantes : le responsable de compte; le responsable juridique en charge de la Division opérationnelle ou fonctionnelle concernée les conseils externes sollicités le cas échéant dans le cadre des investigations conduites par le responsable juridique; l'administrateur de la solution dédiée; le responsable Ethique et Conformité du groupe Vallourec les membres du Comité Ethique du Groupe Vallourec. le directeur en charge de la division opérationnelle ou fonctionnelle concernée qui souhaite conclure un contrat avec le partenaire. Ces destinataires sont tenus à des obligations de confidentialité.

La Commission considère que ces destinataires ont un intérêt légitime à accéder aux données traitées.

Sur l’information et le droit d’accès

Les personnes concernées seront informées de la politique menée par VALLOUREC en matière de lutte contre la corruption lors de la demande de renseignements contractuel par l’affichage d’une notice d’information. Une mention d’information relative aux droits des personnes figure dans le formulaire.

La charte d’éthique de VALLOUREC est mise en ligne sur le site internet de la société afin de permettre aux partenaires commerciaux de prendre connaissance de la politique en vigueur au sein du groupe. Les personnes concernées pourront exercer leurs droits d’accès, de rectification et d’opposition à un contact dédié à la société VALLOUREC – 27, avenue du général Leclerc, 92200 Boulogne-Billancourt.

Sur les mesures de sécurité

Des mesures sont prises afin de préserver la sécurité et la confidentialité des données et, notamment, empêcher que des tiers non autorisés y aient accès. Les échanges avec partenaires commerciaux font l’objet d’un chiffrement. Les accès physiques aux locaux hébergeant les serveurs font l’objet de mesures de contrôle d’accès et repose sur une liste de personnes autorisées. Les accès au système d’information et les opérations de maintenance sont tracés. Les données sont chiffrées lorsque des opérations impliquent des tiers non destinataires. Le contrôle d’accès logique des personnes habilitées à accéder à l’application se fait par un mot de passe contenant 6 à 15 caractères dont au moins une lettre majuscule, une lettre minuscule et un chiffre. Les précédents mots de passe ne peuvent être réutilisés. Le mot de passe doit par ailleurs être différent de l’identifiant. Les mesures de sécurité envisagées n’appellent pas d’observations particulières ; la Commission rappelle la nécessité d’une mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Sur les autres caractéristiques du traitement

Les données sont conservées dans le système dédié pendant 150 jours après la clôture de la phase d’évaluation. Au terme de cette durée les données sont archivées pendant 10 ans pour pouvoir, le cas échéant, justifier des diligences auprès des autorités compétentes. Pour la durée de l’archivage les données font l’objet d’un isolement et d’une procédure de gestion de droits en limitant l’accès à la seule direction juridique.

Autorise, conformément à la présente délibération, VALLOUREC à mettre en œuvre le traitement susmentionné.