Numéro 38 // Jeudi 27 juillet 2023
|
|
|
|
LANCEUR D'ALERTE ET DONNÉES PERSONNELLES : UNE PROTECTION CONJOINTE NÉCESSAIRE !
|
|
|
|
Ce mois-ci la Lettre du DPO a interrogé Domitille Fontaine-Castets, Chief Compliance Officer du célèbre groupe hôtelier « Accor », et Claudio Interdonato, Business Development Director South Europe chez « EQS Group » (fournisseur de solutions logicielles Cloud dans les domaines de la conformité). Ils livrent à la Lettre du DPO leurs témoignages respectifs sur la nécessité de protéger les données relatives aux lanceurs d’alerte, dans un monde où le signalement se généralise en raison de la nécessité de répondre à des risques systémiques (corruption et blanchiment, destruction de l’environnement, cyber-insécurité, etc.), dans un nécessaire équilibre à assurer pour protéger les droits fondamentaux de ces lanceurs d’alerte (vie privée, sécurité...).
Une règlementation relativement récente, en réponse aux sanctions américaines. De l’aveu même de son initiateur, Michel Sapin (à l’époque Ministre de l’Economie et des Finances), la loi « relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique » - dite « loi Sapin 2 » -, promulguée le 09/12/2016 (2016-1691), a été voulue pour permettre de « mettre la France au niveau des meilleurs standards internationaux dans le domaine de la transparence, et de l’action contre la corruption » (communiqué publié le 31/03/2016, par le Service d’information du Gouvernement. Cette initiative précédée par la loi n° 2013-1117 du 06/12/1993 (qui avait renforcée le dispositif légal réprimant la délinquance économique financière et fiscale) a été – on le sait – motivée par la volonté de corriger de mauvaises notations de la France concernant la lutte anti-corruption, et d’atténuer l’appétence des juridictions étrangères à sanctionner les entreprises françaises défaillantes en la matière grâce à des textes répressifs de portée extraterritoriale (comme ce fut le cas par exemple, d’Alstom, condamnée en 2014 à une amende de plus de 770 000 000 dollars par la justice américaine, pour des actes de corruption).
Les lanceurs d’alerte : une protection large. Alors que la plupart de ses dispositions s’appliquent à une série limitée d’infractions financières (corruption, trafic d’influence, prise illégale d’intérêt, etc.), la loi Sapin 2, dès l’origine, a édicté un régime protecteur pour tous ceux qui prennent le risque, de manière désintéressée et de bonne foi, de révéler des faits constitutifs de violations d’une norme de droit interne (législative ou règlementaire), communautaire ou internationale (et ratifiée ou approuvée par la France), quelle qu’en soit la nature pourvu qu’elle menace l’intérêt général. Un temps cantonné aux violations « graves et manifestes » du droit ainsi qu’aux faits dont le lanceur d’alerte avait été directement témoin, cette protection a ensuite été étendue à toutes les violations y compris celles ayant été rapportées à ce dernier, par la loi « Waserman » (2022-401 du 21/03/2022), qui a également étendu la protection aux « facilitateurs » à but non lucratif (syndicats, associations …) ainsi qu’aux personnes « en lien » avec un lanceur d’alerte (proches, collègues …). En outre, l’ancienne hiérarchisation (dictant au lanceur d’alerte d’utiliser d’abord le canal interne, puis, en cas d‘inaction, le canal externe – justice, défenseur des droits … - et, enfin, public) a été assouplie par une liberté de choix entre signalement interne ou externe.
La protection des données relatives aux lanceurs d’alerte : la vigilance de la CNIL est le nécessaire outillage en la matière. La protection conférée aux lanceurs d’alerte, qui leur garantie notamment une stricte confidentialité (quant à leur identité et celle des personnes ainsi que des faits cités dans le signalement) implique celle des données qui s’y rapportent. Afin de guider les organisations (tant celles soumises à la loi Sapin 2 ou à d’autres réglementations leur imposant la mise en place des dispositifs d’alerte, que celles qui n’y sont pas soumises mais qui souhaitent néanmoins s’en doter) dans le respect du RGPD pour protéger ces données, la CNIL a adopté, le 18/07/2019 un référentiel, dont une nouvelle version vient d’être rendue publique le 24/07/2023 et qu’il faudra étudier pour s’y conformer, le cas échéant. Celui-ci rappelle notamment la nécessité d’informer les personnes concernées, de limiter la durée de conservation des données ainsi que de réaliser une analyse d’impact relative à la protection des données (AIPD). Pour s’y conformer, l’adoption d’un outil logiciel sera un atout précieux, en particulier dans les entreprises aux multiples implantations géographiques.
|
|
|
|
"L’adoption de la loi dite « Sapin 2 » (…) exige de collecter et traiter des données dont certaines sont délicates (…). C’est tout naturellement que j’ai eu à me pencher sur le RGPD "
|
|
|
|
Ayant démarré sa carrière comme avocat intervenant en Fusions et Acquisitions, pendant près de huit ans dont deux passés au sein d’un cabinet anglais établi à Paris, Domitille Fontaine-Castets a découvert le sujet de la conformité (« compliance ») à travers les grandes règlementations liées à l’éthique des affaires (lutte contre le blanchiment, contre les comportements anticoncurrentiels, contre la corruption, protection des données à caractère personnel, etc.) auprès d’un grand groupe de la distribution de matériels électriques qu’elle a rejoint avant d’intégrer le groupe hôtelier français « Accor » où elle s’occupe exclusivement de ces sujets (en qualité de « Chief Compliance Officer »). Pour la Lettre du DPO, elle revient en détails sur son parcours et livre sa vision sur le sujet des lanceurs d’alerte (et du traitement de leurs données) au sein des organisations.
|
|
|
|
1/- Quel est votre parcours, et qu’est-ce qui vous a poussé à vous intéresser à la donnée ainsi qu’au RGPD ?
À l’occasion de ma pratique en droit des sociétés, en accompagnant des opérations de fusion-acquisition y compris à l’international, j’ai découvert les grandes règlementations par lesquelles les Etats (souvent en concertation, à un échelon régional voire international) tentaient « d’assainir » la vie des affaires par des normes édictant des obligations formelles visant à récupérer et à traiter les informations pour mieux détecter d’éventuels comportements indésirables (fraude, harcèlement, corruption, etc…) mettant les autorités en capacité d’agir selon une logique orientée vers la prévention et impliquant ainsi un changement de ces comportements sous la pression de ce formalisme. Celui-ci peut s’avérer très lourd et, en particulier avec l’adoption de la loi n° 2016-1691 dite « Sapin 2 » - en décembre 2016 -, qui exige de collecter et traiter des données, dont certaines sont délicates en raison de la gravité des faits qu’elles révèlent. C’est donc tout naturellement que j’ai eu à me pencher sur le RGPD qui entrait alors en application en 2018 et qui a également apporté la protection des données à caractère personnel dans le cadre de mes responsabilités en ma qualité de DPO dans mes fonctions précédentes .
2/- Quelles sont vos responsabilités actuelles et sur quel(s) projet(s) travaillez-vous actuellement en lien avec les lanceurs d’alerte ?
Toutes ces réglementations répondent à des « buts monumentaux » pour reprendre l’expression du professeur Frison-Roche (qui désigne par-là le « souci d’autrui », visant à rendre plus « durable » le monde et la société humaine, que menacent, par exemple, la corruption, l’atteinte à l’environnement ou encore aux droits des personnes à travers le traitement de leurs données). Elles suivent donc une philosophie commune ce qui a permis à la fonction de « Compliance Officer » (responsable conformité) d’émerger. Cette fonction, que j’exerce aujourd’hui, m’amène à travailler sur l’identification des risques, puis sur la réponse à y apporter par des actions de contrôle et de prévention, et ceci au regard des réglementations ou standards que l’on peut schématiquement présenter en six domaines chez Accor : la lutte contre la corruption, le respect des sanctions internationales (par exemple celles adoptées contre la Russie), le respect des règles de concurrence, le respect des standards de paiement dans les hôtels, l’observation des normes protégeant les droits humains (impliquant le devoir de vigilance), et enfin la protection des données à caractère personnel. Au quotidien, concernant les lanceurs d’alerte et les actualités juridiques sur ce sujet, nous avons fait le choix, d’une part, d’ouvrir cette faculté à toute personne (par exemple nos fournisseurs, et nos clients), sans la réserver à nos seuls salariés, d’autre part de permettre un traitement local des alertes (sans imposer leur examen au niveau du siège), et enfin de retravailler les durées de conservation puis de mettre à jour l’analyse d’impact qu’impose le RGPD. Globalement, ce système d’alerte fonctionne bien car, si l’on met de côté les accusations insensées reçues de temps à autre, la plupart des alertes permet de repérer de véritables disfonctionnements, que nous traitons. Pour favoriser celles-ci, il faut, à mon sens, limiter l’alerte anonyme, car l’enquête, qui permet d’écarter les démarches douteuses, nécessite bien souvent de prendre contact avec l’auteur de l’alerte .
3/- Quel est votre vision sur l’avenir de cette réglementation ?
Les technologies numériques, qui ont considérablement facilité les moyens de communication, ont aussi fait naître un monde de transparence absolue puisque les moindres faits et gestes sont désormais retraçables. Le secret et l’intimité disparaissent peu à peu, ne serait-ce qu’à travers les données constamment collectées par les outils numériques utilisés, ou tout simplement présentes dans l’environnement personnel ou professionnel. Et cette sorte de « tyrannie » de la transparence ne connaitra pas de retour en arrière, à mon avis. Dans ce contexte, les lanceurs d’alerte vont continuer à être protégés, et probablement de plus en plus. Pour rééquilibrer la protection de tous ceux qui sont mis en cause dans des alertes, le respect du RGPD est l’une des clés.
|
|
|
|
LE BON OUTILLAGE DES DISPOSITIFS D’ALERTE : UNE ETAPE CRUCIALE POUR CREER LA CONFIANCE DES UTILISATEURS
|
|
|
|
Il est impératif pour les organisations d’adopter un dispositif d’alerte interne personnalisable leur permettant de se conformer pleinement aux lois en vigueur sur la protection des lanceurs d’alerte et au RGPD. Depuis plus de 20 ans, EQS Group développe des solutions digitalisées sécurisées et de haute qualité. EQS Group est un des leaders mondiaux de solutions logicielles dans le cloud et dans les domaines de la conformité. Avec plus de 2 500 clients dans le monde et son produit phare EQS Integrity Line, EQS Group est le leader en Europe du dispositif d’alerte interne. Claudio Interdonato, Business Development Director South Europe chez EQS Group, a accepté de partager à la Lettre du DPO ses convictions pour assurer le bon fonctionnement et la réussite d’une procédure de recueil et de traitement des alertes.
Sensibiliser et assurer la confiance en mettant en place un plan de communication.
Il faut mettre en place des mécanismes pour assurer la confiance du système d’alerte à l’égard des salariés mais également des tiers. Il est essentiel que les collaborateurs sachent comment lancer une alerte. Cela requiert une politique dédiée au lancement d’alerte, une formation, un plan de communication sur la durée et surtout l’implication du top management et ce afin d’éviter toute peur de représailles, une des principales raisons pour lesquelles les collaborateurs ne lancent pas l’alerte. Ce plan de communication doit également préciser que les lanceurs d’alertes bénéficient d’un anonymat qui est garanti mais aussi que les informations transmises demeureront confidentielles. L’avantage de la solution EQS Integrity Line, qui est une solution SaaS hébergée chez EQS Group, est le maintien de l’intégrité de l’information (par l’absence de lecture des IP des personnes et le chiffrement des informations). Toutes ces mesures permettent d’assurer la confiance.
La sécurité et la confidentialité de l’information..
Nos solutions répondent au standard le plus étendu en termes de sécurité et de confidentialité de l’information. Cela se traduit par la certification ISO 27001 « gestion de la sécurité d’information » et la conformité au RGPD, avec des audits annuels réalisés par des prestataires externes. A cet égard, nous ne transférons pas de données personnelles hors UE et garantissons l’anonymisation des données. S’agissant de la sécurité, nous avons recours à des firewalls et nos systèmes font l’objet de « pentests » réguliers afin de nous assurer de leur robustesse. Pour maintenir la confidentialité (respect de l’intégrité de l’information et éviter sa modification) la plateforme tient un journal d’audit pour tracer l’information et savoir qui fait quoi. Par ailleurs, il est possible de configurer la solution pour savoir qui a accès à quoi (par exemple, limiter les signalements en relation avec le harcèlement au département RH). EQS Group n’a pas accès aux données de ses clients. Afin de rendre effectif l’anonymat du lanceur d’alerte, des garanties doivent être mises en œuvre à l’instar de celles disponibles dans notre solution (par exemple, l’absence de traçage de l’IP sur les serveurs, l’instauration d’un canal de discussion accessible au moyen d’un mot de passe uniquement connu par le lanceur d’alerte, l’utilisation d’un système de modification de la voix pour ne pas reconnaitre la personne et la suppression des meta data figurant dans les documents joints par le lanceur d’alerte).
|
|
|
|
L’empreinte environnementale du numérique : réguler l’espace numérique tout en préservant les enjeux environnementaux.
|
|
|
|
L’empreinte carbone du numérique représente aujourd’hui 4% des émissions globales, dont 2,5% sur le territoire national. L’ADEME et l’ARCEP dressent un constat alarmant et assurent qu’en l’absence d’action, elle pourrait augmenter de 45% d’ici à 2030 en France. Alors comment combiner l’évolution rapide du numérique ou encore les exigences de sécurité consommatrices de ressources et d’énergie (par exemple, le chiffrement) et les impératifs environnementaux ?Dans son 9e Cahier Innovation et Prospective, la CNIL rappelle notamment l’importance du principe de minimisation des données. Elle invite à faire du RGPD un outil de régulation de l’empreinte du numérique, grâce à un informatique « sobre » en pensant aux bienfaits environnementaux à la mise en place de chaque procédé informatique (favoriser l’éco-conception et la mise en place de systèmes robustes afin d’éviter les failles de sécurité et les fuites de données). Elle invite également les futurs rédacteurs du référentiel général de l’écoconception des services numériques prévu par l’article 25 de la loi REEN à prendre en compte ses recommandations sur les cookies ou les designs trompeurs, dont la multiplication entraîne les utilisateurs à partager plus de données. Elle incite également les entreprises à mesurer l’impact environnemental de leurs algorithmes d’entrainement à l’heure où l’intelligence artificielle est en train d’être régulée.
|
|
|
|
Mise à jour du référentiel CNIL « alertes professionnelles » de 2019
|
|
|
|
Les changements apportés par la loi « Waserman » de 2022 ont rendu nécessaire la modification du référentiel « alertes professionnelles » adopté le 18 juillet 2019 par la CNIL, afin d’assurer sa cohérence avec les nouvelles règles en la matière, notamment au regard :
- des nouvelles catégories de personnes susceptibles d’émettre un signalement qui bénéficient du régime protecteur des lanceurs d’alerte ;
- des nouveaux délais à respecter pour l’instruction des signalements, ainsi qu’à l’obligation d’informer les auteurs des étapes importantes de la procédure ;
- des nouveaux destinataires des données, puisque de nombreuses autorités publiques sectorielles seront désormais compétentes, chacune dans son domaine, pour recevoir et traiter des alertes dites « externes ».
La CNIL a soumis le projet de modifications à une consultation publique qui s’est terminée le 5 mai 2023. Le projet fait désormais l’objet d’un examen du Collège de la CNIL en vue d'une adoption du référentiel final.
Pour en savoir plus, cliquez ici
|
|
|
|
Coup de théâtre du 10 juillet 2023 : la nouvelle décision d‘adéquation des Etats-Unis !
|
|
|
|
Le 10 juillet 2023 la Commission européenne a adopté, sur le fondement de l’article 45 du RGPD, une décision d’adéquation constatant que les Etats-Unis assurent un niveau de protection adéquat des données personnelles par rapport à celui de l’Union européenne. Le CEPD et le Parlement Européen avaient pourtant émis de vives réserves dans leurs avis du 28 février et du 11 mai 2023. Les entreprises européennes peuvent donc désormais de nouveau transférer librement des données personnelles vers les entités étasuniennes inscrites sur la liste du Département du Commerce (système d’auto-certification). Pour rappel, l’arrêt Schrems II de la CJUE du 16 juillet 2020 avait invalidé la précédente décision d’adéquation à l’égard des Etats-Unis, dite « Privacy Shield », en raison notamment des moyens d’accès des services de renseignement américains aux données personnelles des européens. Un des éléments clé fondant la nouvelle décision d’adéquation est le décret n°14086 du Président Joe Biden du 7 octobre 2022 renforçant en principe la protection des données personnelles vis-à-vis des services de renseignement américains. Cette nouvelle décision fera très probablement l’objet d’un nouveau recours devant la CJUE sans doute porté par l’association NOYB, dont le président est Max Schrems, qui n’a d’ailleurs pas tardé à réagir après l’annonce de la Commission européenne. Affaire à suivre…
Pour en savoir plus, cliquez ici
|
|
|
|
Conférence annuelle « Territoires connectés
|
|
|
|
Cette conférence organisée par l’Arcep se tiendra à l’Institut du Monde Arabe et conviera parlementaires, élus locaux, représentants de l’État et opérateurs au sujet de l’aménagement numérique des territoires. Ce sera aussi l’occasion pour l’Arcep de présenter le Tome 2 de son rapport annuel concernant son travail de régulation, ses actions et plus particulièrement ses objectifs en termes d’aménagement numérique, tels que la poursuite du développement d’une connectivité mobile de qualité sur l’ensemble des territoires ou encore de la finalisation du déploiement de la fibre pour les entreprises.
Il sera bientôt possible de s’inscrire pour l'événement ici
|
|
|
|
Le département Immatériel et Numérique de klein • wenner
Forte d’avocats expérimentés, experts en droit du numérique et du RGPD, l’équipe Immatériel & Numérique de klein • wenner a développé une pratique transversale inédite en droit de la donnée. En lien avec d’autres experts (cybersécurité, SI/gouvernance des données), elle propose une approche globale permettant de traiter l’ensemble des questions liées aux données (privacy, propriété intellectuelle, cybersécurité, et open data* – *avec l’équipe Droit public du cabinet).
|
|
|
|
La Lettre du DPO est une publication de klein • wenner qui traite vos données conformément à la règlementation protégeant les données à caractère personnel. Pour en savoir plus, cliquez ici
|
|
|
|
|
|
|
|
