Compliance : ne négligez pas la protection des données personnelles - Le Magazine des Affaires

Compliance : ne négligez pas la protection des données personnelles

Fabien Ganivet

Fabien Ganivet, DLA Piper

Denise Lebeau-Marianna

Denise Lebeau-Marianna, DLA Piper

Par Fabien Ganivet et Denise Lebeau-Marianna, Avocats associés au sein du cabinet international DLA Piper

Dans le prolongement notamment du Foreign Corrupt Practices Act américain de 1977 et du UK Bribery Act de 2010, la loi du 9 décembre 2016, dite « Sapin II », a entendu doter la France de nouveaux outils destinés à lutter plus efficacement contre les atteintes à la probité dans le monde des affaires, dans une démarche pour partie répressive, mais surtout préventive.

Par leur ampleur, ces nouvelles règles de « compliance » ne manqueront pas de représenter, pour les entreprises concernées, un bouleversement profond, en termes d’organisation de la chaîne de conformité, de responsabilisation de ses acteurs, de formation des collaborateurs, de recherche et d’analyse d’informations ciblées sur certains partenaires commerciaux, de signalement des éventuels manquements constatés, etc.

Une question mérite à l’évidence une attention particulière, celle du traitement des données à caractère personnel (« DCP ») que les entreprises seront inévitablement amenées à collecter, dans le cadre de la mise en place de leurs programmes de conformité (I). De fait, certains dispositifs sont désormais bien établis à travers aussi bien les prescriptions de la loi que le cadre juridique élaboré par la CNIL (II). Nombre de questions demeurent toutefois en suspens, dans ce secteur encore en pleine mutation (III).

I.  Le traitement des DCP, une réflexion incontournable dans la mise en œuvre des dispositifs de conformité   

Avec l’adoption de la loi « Sapin II », les entreprises employant au moins 500 salariés ou appartenant à un groupe de sociétés dont la société-mère est basée en France et dont l’effectif comprend au moins 500 salariés, et réalisant par ailleurs un chiffre d’affaires ou un chiffre d’affaires consolidé supérieur à 100 millions d’euros, sont désormais soumises à tout un arsenal de mesures à visée préventive, fondées sur les standards internationaux les plus exigeants en la matière.

Ainsi, la mise en place d’un code de conduite à portée quasi normative, le déploiement de systèmes d’alertes internes, l’établissement d’une cartographie précise des risques encourus par l’entreprise, la conduite de « due diligences » pour mieux apprécier la situation des clients, intermédiaires ou fournisseurs de 1er rang, ou la création d’un dispositif de contrôle et d’évaluation interne, etc., sont autant d’exercices auxquels les acteurs économiques ont commencé à s’habituer, en tant qu’ils font partie intégrante de la mise en œuvre d’un programme de « compliance ».

Or si la question du traitement des DCP n’était pas au cœur du dispositif créé par le législateur, c’est là en réalité une problématique essentielle : les mesures prévues sont nombreuses, à commencer par les dispositifs d’alerte interne, qui vont conduire l’entreprise à collecter et à analyser des DCP par le biais de traitements automatisés.

Justifiés par l’obligation légale de mettre en œuvre ces mesures de manière effective dans le cadre du programme de conformité, de tels traitements ne soulèvent pas de véritable problème quant à leur légitimité. Ils n’en restent pas moins soumis aux prescriptions rigoureuses de la loi en matière de protection des DCP, obligeant l’entreprise à se montrer particulièrement vigilante sur les conditions de leur mise en place: information préalable, proportionnalité des données traitées aux finalités poursuivies, accès restreint et sécurité, durée de conservation limitée, transferts de données sécurisés, formalités effectuées auprès de la CNIL, etc. 

En outre, avec l’entrée en vigueur, en mai 2018, du nouveau Règlement européen du 27 avril 2016 sur la protection des DCP, les entreprises ont dû entamer leur chantier de mise en conformité dans le cadre d’un programme souvent intitulé « Conformité GDPR ou RGPD » qui, parallèlement au volet « anticorruption », constitue un autre pan stratégique de la « compliance » en entreprise. Il est ainsi manifeste que le traitement des DCP est désormais une question inhérente à la mise en place de tout programme de conformité.

II. Le cadre juridique établi pour les traitements de DCP dans les dispositifs d’alerte professionnelle

Conformément à leurs obligations légales en matière de « compliance », nombre d’entreprises doivent ainsi mettre en place des systèmes d’alerte professionnelle, en fonction de plusieurs critères : entreprises d’au moins 50 salariés, tenues d’établir « des procédures appropriées de recueil des signalements émis par les membres de leur personnel ou par des collaborateurs extérieurs et occasionnels » (article 8 III. de la loi « Sapin II ») ; entreprises d’au moins 500 salariés entrant dans le champ de l’article  17 II. 2° de la loi « Sapin II »; entreprises employant au moins 5.000 salariés, visées par l’article 1er de la loi du 27 mars 2017 relative au « devoir de vigilance des sociétés mères ».

Or il appartient à ces entreprises de bien vérifier que les dispositifs mis en place respectent à la fois les prescriptions des lois récentes en la matière et le cadre juridique établi par la CNIL. Après avoir affiché une certaine réticence initiale, cette dernière a admis la création des traitements de DCP résultant de la mise en place de ces dispositifs dans le cadre d’une autorisation unique n°AU-004, qui fixe de manière très précise les contours des systèmes d’alerte professionnelle, afin de garantir notamment aux personnes concernées par les signalements, le respect des droits conférés par la législation relative à la protection des DCP.

Limitée en 2005 à certains domaines et plusieurs fois révisée depuis, l’AU-004 a vu son périmètre considérablement élargi par la délibération du 22 juin 2017, puisque le recueil des signalements est désormais autorisé en rapport avec de nombreux manquements, dont le champ apparaît largement inspiré par les dispositions de l’article 6 de la loi du 9 décembre 2016 (concernant les faits susceptibles de faire l’objet d’un signalement et d’entraîner la protection du lanceur d’alerte).

Le nouveau cadre fixé par la CNIL via l’élargissement du périmètre de l’AU-004 devrait ainsi permettre aux entreprises de mettre en œuvre les dispositifs de recueil de signalements prévus par le législateur (en particulier ceux de la loi « Sapin II »), en offrant une certaine sécurité juridique à ces systèmes d’alerte professionnelle et aux responsables des traitements, sous réserve que leur mise en œuvre respecte bien les conditions posées par la délibération susvisée.

III. Les interrogations relatives au régime applicable aux autres traitements de DCP des programmes de « compliance »

Force est toutefois de constater que la question des alertes professionnelles n’épuise manifestement pas le champ des traitements de DCP dont la mise en œuvre pourrait être rendue nécessaire au titre des prescriptions de la loi « Sapin II » en matière de dispositifs de conformité. Ainsi en est-il, par exemple, de l’obligation (article 17 II. 4°) de mettre en œuvre des
« procédures d’évaluation de la situation des clients, fournisseurs de premier rang et intermédiaires au regard de la cartographie des risques ».

Ces dispositifs s’accompagnent très souvent de traitements de DCP qui peuvent être, en fonction du résultat des « due diligences »,  de nature  par exemple à évincer un fournisseur d’un appel d’offres, ou à cesser de fournir un client qui ne respecterait pas les exigences requises en matière de conformité. Ils devraient de ce fait être soumis au régime d’autorisation de l’article 25 de la loi Informatiques et Libertés. Or si le nouveau régime de l’AU-004 a clairement vocation à s’appliquer aux dispositifs d’alerte professionnelle, rien n’indique réellement qu’il pourrait couvrir également les « procédures d’évaluation » prévues par la loi « Sapin II ».

Particulièrement sensible est en particulier la question du traitement des DCP relatives à des infractions, condamnations ou mesures de sûreté, dont la mention dans des fichiers ou bases de données est en principe interdite notamment aux entreprises privées, sauf autorisation spécifique de la CNIL  dans les cas et conditions prévues par la loi. Or bien que les entreprises pourraient avoir un intérêt légitime à vouloir collecter ce type d’informations dans le cadre de leurs procédures d’évaluation, destinées à prévenir les manquements à la probité,  le cadre juridique de recueil de ce type de données   mériterait à l’évidence d’être reprécisé.

Si le nouveau Règlement européen prévoit certes de supprimer bientôt les formalités préalables à la création de traitements de DCP pour les remplacer par une approche fondée sur le principe d' »accountability » de l’entreprise, on ne peut exclure que le projet de loi actuellement en cours de préparation pour compléter le nouveau dispositif européen décide éventuellement le maintien de certaines formalités dans des cas présentant un enjeu majeur en termes de libertés publiques ou de respect de la vie privée.

Aussi, la recherche du régime applicable aux traitements de DCP résultant de la mise en œuvre des différentes composantes de leur programme de « compliance » doit plus que jamais demeurer une exigence majeure pour les entreprises dans la période à venir. 

© All right reserved 2018 - Le Magazine des Affaires création LINKIN