DELIBERATION n°2008-598 du 2 décembre 2008

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2008-598 du 2 décembre 2008
Délibération n°2008-598 du 2 décembre 2008 autorisant la société SCHINDLER à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle
Etat: VIGUEUR

(Demande d’autorisation n°1275122)
La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu la délibération de la CNIL n°2005-305 du 8 décembre 2005 portant autorisation unique AU-004 de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle ;
Vu la demande d’autorisation, présentée par la société SCHINDLER, d’un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle ;
Sur le rapport de M. Hubert BOUCHET, commissaire et les observations de Mme Pascale COMPAGNIE, commissaire du gouvernement ;
Formule les observations suivantes :
La société SCHINDLER a déposé un dossier de demande d’autorisation de mise en œuvre d’un dispositif de traitement de données à caractère personnel intitulé « Système de Détection des non-conformités ». Ce dispositif a pour finalité de « détecter et d’évaluer les risques les plus importants en matière de violation des lois anti-trust et anti-corruption ».
La Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
Il convient d’examiner ledit traitement au regard des principes relatifs à la protection des données à caractère personnel, et notamment, de l’article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
La Commission estime en conséquence que les dispositifs d’alerte professionnelle doivent être conçus comme uniquement complémentaires par rapport aux autres modes d’alerte dans l’entreprise. Elle estime ainsi qu’afin de tenir compte de ce caractère intrinsèquement complémentaire, un dispositif d’alerte doit être limité dans son champ.
La Commission relève que la politique d’utilisation du système, jointe au dossier de la société SCHINDLER, indique que « les questions sont relatives aux risques majeurs de non-conformité, c’est-à-dire la violation des lois anti-trust et anti-corruption ». Il est par ailleurs souligné que dans leur réponse, les salariés ne doivent mentionner « que des faits liés aux sujets traités dans les questions ».
Par ailleurs, la Commission considère que l’émetteur de l’alerte professionnelle doit s’identifier, son identité étant traitée de façon confidentielle par l’organisation chargée de la gestion des alertes. Elle estime encore que l’alerte d’une personne qui souhaite rester anonyme ne peut être recueillie que par exception et aux conditions suivantes :

  • que le traitement des alertes anonymes soit entouré de précautions particulières, telles qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif,
  • que l’organisme n’incite pas les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et que la publicité faite sur l’existence du dispositif en tienne compte, la procédure devant au contraire être conçue de façon à ce que les employés s’identifient auprès de l’organisation chargée de la gestion des alertes.

La Commission relève, à cet égard, que le dispositif présenté prévoit que « les informations fournies seront traitées sur la base de la confidentialité (…). L’identité des participants restera confidentielle».
Les droits d’accès et de rectification s’exerceront auprès du Directeur Juridique, SCHINDLER, 1 rue Dewoitine, 78140 Vélizy-Villacoublay.
Les catégories de données à caractère personnel enregistrées seront les données d’identification du salarié qui alerte (nom, prénom, fonctions professionnelles, service d’appartenance), ainsi que les données relatives aux faits signalés.
Les destinataires des informations seront, dans la limite de leurs attributions et pour la finalité précitée, le Responsable de la Conformité Schindler France, son adjoint et le Responsable de la Conformité du Groupe Schindler.
Dans ces conditions, la Commission autorise la société SCHINDLER à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle.

Le président,
Alex TURK



Nature de la délibération: Autorisation
Date de la publication sur legifrance: 14 octobre 2015