Délibération 2011-138 du 12 mai 2011

Commission Nationale de l'Informatique et des Libertés
Délibération n°2011-138 du 12 mai 2011
Délibération n°2011-138 du 12 mai 2011 autorisant la société EADS FRANCE SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle
Etat: ABROGE

(Demande d’autorisation n°1415659 V1)
La Commission nationale de l’informatique et des libertés,
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifié en 2007 ;
Vu la délibération de la CNIL n°2005-305 du 8 décembre 2005 portant autorisation unique AU-004 de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, telle que modifiée le 14 octobre 2010 ;
Vu la demande d’autorisation du 1er mars 2010, présentée par la Société EADS FRANCE SAS, d’un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle ;
Vu la demande de modification, reçue le 6 avril 2011 pour l’élargissement du champ d’application du dispositif d’alerte professionnelle ;
Sur le rapport de M. Emmanuel DE GIVRY, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du Gouvernement ;
Formule les observations suivantes :
Conformément au Code Néerlandais de bonne gouvernance d’entreprise auquel la société mère du Groupe (EADS Holding NV) est soumise et qui impose la mise en place d’un système d’alerte professionnelle pour les sociétés cotées, la société EADS FRANCE SAS a déposé un dossier de demande d’autorisation de mise en œuvre d’un dispositif de traitement de données à caractère personnel dénommé « Système d’alerte professionnelle Openline ».
La société EADS France SAS agit en qualité de responsable de traitement pour l’ensemble des sociétés du groupe EADS concernées par le dispositif d’alerte professionnelle. En effet, la Commission constate qu’elle détermine seule les finalités et les moyens du traitement.
La Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
La Commission rappelle qu’elle a adopté, le 8 décembre 2005, une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle. Cette délibération a été modifiée le 14 octobre 2011 et intègre désormais dans le champ d’application de l’article 1er les pratiques anticoncurrentielles.
Elle observe que le traitement objet de la présente délibération répond à toutes les exigences prévues par l’autorisation unique, à l’exception du fondement juridique indiqué à l’article 1. En effet, le traitement se fonde sur le respect des dispositions du Code Néerlandais de bonne gouvernance d’entreprise.
La Commission doit, par conséquent, procéder à une analyse spécifique du traitement soumis à son appréciation, au regard des principes relatifs à la protection des données à caractère personnel, et notamment, de l’article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
La Commission constate :

  • que le dispositif d’alerte professionnelle envisagé par la société EADS FRANCE SAS est complémentaire par rapport aux autres modes d’alerte dans l’entreprise,
  • que son utilisation est facultative, aucune sanction ne pouvant être prise à l’encontre d’un salarié en cas de non utilisation du dispositif.

Elle estime, par ailleurs, qu’afin de tenir compte de ce caractère intrinsèquement complémentaire, un dispositif d’alerte doit être limité dans son champ.
La Commission relève que le dispositif d’alerte professionnelle indique que l’utilisation est strictement limitée aux manquements sérieux qui s’appliquent aux domaines financier, comptable, de lutte contre la corruption et aux pratiques anticoncurrentielles.
Aucune autre irrégularité ne doit être signalée par le biais de ce dispositif.
La Commission estime qu’en l’espèce le dispositif d’alerte qui lui est présenté est limité dans son champ et répond à l’intérêt légitime du responsable du traitement.
Par ailleurs, la Commission observe que le dispositif soumis par la société EADS FRANCE n’est pas conçu pour permettre des signalements anonymes. L’émetteur de l’alerte professionnelle doit s’identifier auprès du prestataire désigné par la société EADS FRANCE SAS (Deloitte & Touche Investments (Proprietary) Limited) pour recueillir les alertes. Son identité est traitée de façon confidentielle par les personnes chargées de la gestion des alertes.
Enfin, la Commission relève que les données relatives à l’alerte feront l’objet d’un transfert hors de l’Union Européenne, le prestataire chargé du recueil des alertes étant situé en République d’Afrique du Sud. Ce traitement garantit un niveau de protection suffisant notamment en raison des clauses contractuelles dont il fait l’objet.
Les droits d’accès et de rectification s’exercent directement par courrier électronique auprès de la personne habilitée de la société Deloitte & Touche Investments (Proprietary) Limited via l’adresse email openline@eadsopenline.com
Les catégories de données à caractère personnel enregistrées sont identiques à celles mentionnées dans l’autorisation unique n°4 (Délibération n°2005-305 du 8 décembre 2005).
Les destinataires des informations sont, dans la limite de leurs attributions, le personnel de la société Deloitte and Touche Investments (Proprietary) Limited et le Compliance Office de EADS FRANCE SAS.
Dans ces conditions, la Commission autorise la société EADS FRANCE SAS, à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle.
La présente délibération abroge la délibération n° 2010-087 du 25 mars 2010.

Le Président,
Alex TÜRK
Date de la publication sur legifrance: 1 octobre 2014