Articles

Article AUTONOME (Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004) (rectificatif))

Article AUTONOME (Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004) (rectificatif))


Après avoir entendu Mme Marie-France MAZARS, commissaire, en son rapport, et Mme Nacima BELKACEM, commissaire du Gouvernement, en ses observations,
Emet l'avis suivant :
Un dispositif d'alerte professionnelle est un système mis en œuvre par des organismes publics ou privés, à destination des membres de leur personnel ou des collaborateurs extérieurs et occasionnels pour les inciter à signaler à l'organisme employeur des comportements, dont ils ont eu personnellement connaissance, qu'ils estiment contraires aux règles applicables, et pour organiser la vérification de l'alerte ainsi recueillie au sein de l'organisme concerné.
Ce dispositif est mis en œuvre complémentairement aux voies traditionnelles de signalement et son utilisation ne constitue qu'une faculté pour l'employé de l'organisme.
Les dispositifs d'alerte professionnelle mis en œuvre sur les lieux de travail peuvent prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d'exclure des personnes du bénéfice de leur contrat de travail en l'absence de toute disposition législative ou réglementaire et susceptibles également de contenir des données relatives à des infractions.
Dès lors, de tels dispositifs constituent des traitements relevant tant de l'article 25-I 3° que de l'article 25-I-4° de la loi du 6 janvier 1978 modifiée et doivent, à ce titre, être autorisés par la CNIL.
En vertu de l'article 25-II de la loi du 6 janvier 1978 modifiée, la Commission peut adopter une décision unique d'autorisation pour des traitements répondant notamment aux mêmes finalités, portant sur des catégories de données et des catégories de destinataires identiques.
Le responsable de traitement mettant en œuvre un dispositif d'alerte professionnelle dans le respect des dispositions de cette décision unique adresse à la Commission un engagement de conformité à la présente autorisation.
La Commission décide que les responsables de traitement qui lui adressent une déclaration comportant un engagement de conformité pour leurs traitements de données à caractère personnel répondant aux conditions fixées par la présente décision unique sont autorisés à mettre en œuvre ces traitements.