Délibération 2010-087 du 25 mars 2010

Commission Nationale de l'Informatique et des Libertés
Délibération n°2010-087 du 25 mars 2010
Délibération n°2010-087 du 25 mars 2010 autorisant la société EADS FRANCE SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle
Etat: ABROGE

(Demande d’autorisation n°1415659)
La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu la délibération de la CNIL n°2005-305 du 8 décembre 2005 portant autorisation unique AU-004 de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle ;
Vu la demande d’autorisation, présentée par la Société EADS FRANCE SAS, d’un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle ;
Sur le rapport de M. Hubert BOUCHET, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement ;
Formule les observations suivantes :
La société EADS FRANCE SAS a déposé le 1er mars 2010 un dossier de demande d’autorisation de mise en œuvre d’un dispositif de traitement de données à caractère personnel dénommé « Système d’alerte professionnelle Openline », conformément au Code Néerlandais de bonne gouvernance d’entreprise auquel la société mère du Groupe (EADS Holding NV ) est soumise et qui impose la mise en place d’un système d’alerte professionnelle pour les sociétés cotées.
La Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
La Commission rappelle qu’elle a adopté, le 8 décembre 2005, une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle.
Elle observe que le traitement objet de la présente délibération répond à toutes les exigences prévues par l’autorisation unique, à l’exception du fondement juridique indiqué à l’article 1. En effet, le traitement se fonde sur le respect des dispositions du Code Néerlandais de bonne gouvernance d’entreprise.
La Commission doit, par conséquent, procéder à une analyse spécifique du traitement soumis à son appréciation, au regard des principes relatifs à la protection des données à caractère personnel, et notamment, de l’article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
La Commission constate :

  • que le dispositif d’alerte professionnelle envisagé par la société EADS FRANCE SAS est complémentaire par rapport aux autres modes d’alerte dans l’entreprise,
  • que son utilisation est facultative, aucune sanction ne pouvant être prise l’encontre d’un salarié en cas de non utilisation du dispositif.

Elle estime, par ailleurs, qu’afin de tenir compte de ce caractère intrinsèquement complémentaire, un dispositif d’alerte doit être limité dans son champ.
La Commission relève que le dispositif d’alerte professionnelle indique que l’utilisation est strictement limitée aux manquements sérieux qui s’appliquent aux domaines financier, comptable, et de lutte contre la corruption.
Aucune autre irrégularité ne doit être signalée par le biais de ce dispositif.
La Commission estime qu’en l’espèce le dispositif d’alerte qui lui est présenté est limité dans son champ et répond à l’intérêt légitime du responsable du traitement.
Par ailleurs, la Commission observe que le dispositif soumis par la société EADS FRANCE n’est pas conçu pour permettre des signalements anonymes. L’émetteur de l’alerte professionnelle doit s’identifier auprès du prestataire désigné par la société EADS FRANCE SAS (Deloitte & Touche Investments (Proprietary) Limited) pour recueillir les alertes. Son identité est traitée de façon confidentielle par les personnes chargées de la gestion des alertes.
Enfin, la Commission relève que les données relatives à l’alerte feront l’objet d’un transfert hors de l’Union Européenne, le prestataire chargé du recueil des alertes étant situé en République d’Afrique du Sud. Ce transfert d’informations assure un niveau de protection suffisante des données transférées, notamment par la signature des clauses contractuelles type de la Commission européenne du 27 décembre 2001 pour le transfert de données à caractère personnel vers des sous-traitant établis dans les pays tiers en vertu de la Directive 95/46/CE.
Les droits d’accès et de rectification s’exercent directement par courrier électronique auprès de la personne habilitée de la société Deloitte & Touche Investments (Proprietary) Limited via l’adresse email ehugo@deloitte.co.za.
Les catégories de données à caractère personnel enregistrées sont identiques à celles mentionnées dans l’autorisation unique n°4 (Délibération n°2005-305 du 8 décembre 2005).
Les destinataires des informations sont, dans la limite de leurs attributions, le personnel de la société Deloitte and Touche Investments (Proprietary) Limited et le Compliance Office de EADS FRANCE SAS.
Dans ces conditions, la Commission autorise la société EADS FRANCE SAS à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle.

Le Président,
Alex TURK
Date de la publication sur legifrance: 14 octobre 2015