CNIL, 5 avril 2018, n° 2018-124

La Commission nationale de l'informatique et des libertés,

Saisie par le groupe ALSTOM d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un dispositif d’alerte ;

Vu la convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code monétaire et financier, notamment son article L. 634-1 ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25-I-3° et 25-I-4° ;

Vu la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique ;

Vu la loi n° 2017-399 du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004) ;

Vu la délibération n° 2017-190 du 22 juin 2017 portant modification de la recommandation relative aux mots de passe ;

Vu le dossier et ses compléments ;

Sur la proposition de Mme Marie-France MAZARS, commissaire, et après avoir entendu les observations de Mme Nacima BELKACEM, commissaire du Gouvernement,

Formule les observations suivantes :

A titre liminaire, la Commission rappelle qu’elle a adopté le 22 juin 2017 une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004).

Elle observe que le traitement objet de la présente délibération ne répond pas aux conditions prévues par cette autorisation unique, notamment s’agissant du champ d’application du dispositif.

La Commission doit, par conséquent, procéder à une analyse spécifique du traitement, au regard des principes relatifs à la protection des données à caractère personnel et, notamment, de l’article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Responsable du traitement

ALSTOM est groupe spécialisé dans la conception de systèmes, équipements et services pour le secteur du transport.

Sur la finalité

Le groupe ALSTOM a déposé un dossier de demande d’autorisation préalablement à la mise en place d’un dispositif d’alerte.

La Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-3° et 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements portant notamment sur des données relatives aux infractions, sauf ceux qui sont mis en œuvre par des auxiliaires de justice pour les besoins de leurs missions de défense des personnes concernées, ainsi que les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.

La Commission rappelle qu’un dispositif d’alerte doit, de façon générale, être limité dans son champ d’application et que son utilisation doit demeurer facultative et complémentaire par rapport aux autres voies de remontée de réclamations des salariés.

En l’espèce, le dispositif d’alerte est mis en œuvre par le groupe ALSTOM afin de permettre à l’ensemble des membres du personnel ainsi qu’aux collaborateurs extérieurs et occasionnels de l’ensemble du groupe de signaler un manquement potentiel ou avéré, relatifs à :

un crime ou un délit ;

une violation grave et manifeste d'un engagement international régulièrement ratifié ou approuvé par la France ;

une violation grave et manifeste d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un engagement international régulièrement ratifié ;

une violation grave et manifeste de la loi ou du règlement ;

une menace ou un préjudice graves pour l'intérêt général, dont l’émetteur de l’alerte a eu personnellement connaissance ;

l'existence de conduites ou de situations contraires au code d’éthique du groupe, concernant des faits de corruption ou de trafic d’influence, le non-respect d’un pouvoir ou d’une délégation de pouvoir, les actes pouvant altérer les conditions de vie au travail, les problèmes relatifs à la qualité et aux malfaçons, à l’utilisation des réseaux sociaux (dénigrement de l’image de l’entreprise via les réseaux sociaux), les abus de biens sociaux, les dégradations physiques.

Ce dispositif pourra également être utilisé pour effectuer les signalements auprès de l’Autorité des marchés financiers et de l’Autorité de contrôle prudentiel et de résolution, visés à l’article L. 634-1 du code monétaire et financier.

Ce mode de signalement ne se substitue pas à la remontée hiérarchique classique, en ce qu’il constitue un canal de signalement alternatif pour les personnes ne souhaitant pas emprunter la voie habituelle de signalement.

En application du devoir de vigilance, ce dispositif permet également à quiconque de signaler des risques d’atteintes graves envers les droits humains et les libertés fondamentales, la santé et la sécurité des personnes ainsi que l'environnement, résultant des activités de la société et de celles des sociétés qu'elle contrôle au sens du II de l'article L. 233-16, directement ou indirectement, ainsi que des activités des sous-traitants ou fournisseurs avec lesquels est entretenue une relation commerciale établie, lorsque ces activités sont rattachées à cette relation. Dans certaines situations, le dispositif est susceptible de permettre d’identifier les auteurs à l’origine des risques susvisés.

La Commission constate que le dispositif qui lui est présenté est limité dans son champ d’application, qu’il est facultatif et mis en œuvre en application de dispositions légales incombant à l’organisme.

Elle considère, dès lors, que les finalités du traitement sont en l’espèce déterminées, explicites et légitimes.

Sur les données traitées

Les catégories de données collectées sont les suivantes :

- l’identité, les fonctions et les coordonnées de l'émetteur de l'alerte ;

- l’identité, les fonctions et les coordonnées des personnes faisant l'objet d'une alerte ;

- l’identité, les fonctions et les coordonnées des personnes intervenant dans le recueil ou dans le traitement de l'alerte ;

- les faits signalés ;

- les éléments recueillis dans le cadre de la vérification des faits signalés ;

- le compte rendu des opérations de vérification ;

- les suites données à l'alerte.

La Commission estime que ces données sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le responsable de traitement.

S’agissant du traitement de l’identité de l’émetteur de l’alerte, la Commission considère que l’obligation de s’identifier pour l’émetteur de l’alerte est de nature à limiter les risques de mise en cause abusive ou disproportionnée de l’intégrité professionnelle, voire personnelle, des personnes concernées.

La Commission prend acte qu’en l’espèce, le responsable de traitement s’engage, en cas d’alerte anonyme, à traiter cette dernière de façon différenciée. Les alertes anonymes peuvent en effet être traitées lorsque la gravité des faits le justifie, en présence d’éléments factuels suffisamment détaillés et, enfin, à condition de prendre des précautions particulières, telles qu'un examen préalable par son premier destinataire de l'opportunité de sa diffusion dans le cadre du présent dispositif.

Sur les destinataires

S’agissant des modalités de signalement, la Commission prend acte du fait que tout collaborateur du groupe ALSTOM peut déclencher la procédure par voie téléphonique ou via une plateforme en ligne.

Si l’alerte est émise par téléphone, elle est recueillie par un prestataire externe qui se charge de l’enregistrer sur la plateforme en ligne. Si l’alerte est émise via l’outil en ligne, elle est directement enregistrée sur la plateforme.

L’accès à cette plateforme est restreint aux six personnes intervenant dans le traitement des alertes : le Directeur Juridique d’ALSTOM, le Directeur Ethique et Conformité, le Directeur Audit et Contrôle Interne, un Auditeur ALSTOM Audit et Conformité spécialisé dans le traitement des alertes et faisant partie de l’équipe du Directeur Audit et Contrôle Interne, ainsi que deux Responsables Ethique et Conformité.

La Commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement.

Elle rappelle que ces personnes doivent toutes être astreintes à une obligation renforcée de confidentialité, contractuellement définie.

Sur l’information et le droit d’accès

La Commission rappelle que les institutions représentatives du personnel doivent avoir été informées et consultées, préalablement à la décision de mise en œuvre dans l'entreprise, sur le dispositif d’alerte et sur les modalités de sa mise en œuvre.

Les salariés sont informés du dispositif, conformément à l’article 32 de la loi du 6 janvier 1978 modifiée :

par voie d’affichage au sein des établissements ;

via des actions de sensibilisation et de formation ;

via la communauté des «ambassadeurs éthiques et conformité» présents dans les établissements.

Ils sont également informés que l’utilisation de bonne foi du dispositif, même si les faits s’avèrent par la suite inexacts ou ne donnent lieu à aucune suite, n’expose son auteur à aucune sanction, mais que l’utilisation abusive du dispositif peut en revanche exposer son auteur à des sanctions disciplinaires et à des poursuites judiciaires.

Une personne mise en cause par un signalement est quant à elle informée de l’existence d’une alerte à son encontre et notamment des faits reprochés et des modalités d’exercice de ses droits d’accès et de rectification. Cette information intervient dès l’enregistrement de données à caractère personnel la concernant. Néanmoins, si des mesures conservatoires doivent être prises, notamment pour prévenir la destruction de preuves relatives à l’alerte, l’information de la personne intervient après l’adoption de ces mesures.

Les droits d’accès, de rectification et d’opposition, prévus par les articles 38, 39 et 40 de la loi du 6 janvier 1978 modifiée, s’exercent quant à eux, auprès du département éthique et conformité par courriel.

La Commission considère que ces modalités d’information et d’exercice des droits des personnes, décrites ci-dessus, sont satisfaisantes.

Sur les mesures de sécurité

Le responsable du traitement, en application de l’article 34 de la loi du 6 janvier 1978 modifiée, doit prendre toutes les précautions utiles pour préserver la sécurité des données collectées et traitées, au regard de la nature des données, des risques présentés par le traitement, et notamment empêcher que des tiers non autorisés y aient accès par l’intermédiaire de mesures de sécurité physiques, logiques et organisationnelles.

En l’espèce, la Commission relève l’existence de mesures de sécurité prises par le responsable de traitement.

Les utilisateurs s’authentifient ainsi avec un identifiant et un mot de passe de 8 caractères minimum renouvelé tous les 90 jours. La Commission recommande que la complexité des mots de passe soit renforcée conformément à ses recommandations.

Un mécanisme de gestion des habilitations permet, par ailleurs, de garantir que seules les personnes habilitées peuvent accéder aux données nécessaires à la réalisation de leurs missions. A cet égard, la Commission rappelle que la gestion des habilitations doit faire l’objet de procédures formalisées, validées par le responsable de traitement, portées à la connaissance des utilisateurs et être régulièrement mise à jour.

La Commission recommande qu’un mécanisme de journalisation des accès à l’application et des opérations effectuées soit mis en œuvre pour détecter d’éventuels accès ou opérations non souhaitées ou interdites.

Des mesures techniques adéquates garantissent la sécurité des données stockées ou échangées, en particulier lors des échanges opérés par l’intermédiaire d’un réseau non sécurisé tel qu’Internet.

Enfin, des mesures nécessaires permettent d’assurer la maintenance du matériel et sa mise au rebut dans des conditions de sécurité satisfaisantes, en particulier s’agissant de l’absence de données à caractère personnel stockées dans les matériels remisés.

La Commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement qui doit notamment vérifier que ces outils ou logiciels respectent l'ensemble des obligations que la loi du 6 janvier 1978 modifiée met à sa charge.

Elle rappelle également qu’un responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants et, le cas échéant, que le contrat établi entre les parties doit mentionner les objectifs de sécurité qu'un sous-traitant doit respecter.

La Commission rappelle enfin que l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.

Sur les autres caractéristiques du traitement

La Commission relève que les durées de conservation prévues par le responsable de traitement sont identiques à celles mentionnées à l’article 6 de l’autorisation unique n°004, à savoir :

les données relatives à un signalement, considéré dès son recueil, par ALSTOM comme n'entrant pas dans le champ du dispositif sont détruites ou archivées sans délai après anonymisation ;

lorsque le signalement n'est pas suivi d'une procédure disciplinaire ou judiciaire, les données sont détruites ou archivées après anonymisation dans un délai de deux mois à compter de la clôture des opérations de vérification ;

si une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données sont conservées jusqu’au terme de la procédure.

La Commission estime que ces durées de conservation ne sont pas excessives au regard de la finalité poursuivie par le traitement conformément aux dispositions de l’article 6-5° de la loi du 6 janvier 1978 modifiée.

La Commission relève que des transferts de données sont réalisés hors de l’Union européenne, vers le prestataire établi aux Etats-Unis, chargé de recueillir les alertes émises par téléphone. Ces transferts sont encadrés par le Privacy Shield et par un contrat rédigé sur le modèle des clauses contractuelles élaborées par la Commission européenne relatives aux transferts de données de responsable de traitement à sous-traitant.

Autorise, conformément à la présente délibération, ALSTOM à mettre en œuvre le traitement susmentionné.