DELIBERATION n°2012-370 du 11 octobre 2012

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2012-370 du 11 octobre 2012
Délibération n° 2012-370 du 11 octobre 2012 autorisant la société EADS FRANCE SAS à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un dispositif d’alerte professionnelle
Etat: VIGUEUR

(Demande d’autorisation n° 1415659 V2)
La Commission nationale de l’informatique et des libertés,
Saisie par la société EADS FRANCE SAS d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un dispositif d’alerte professionnelle ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n°78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment ses articles 6-3°, 7-5°, 25-I-4°, 35 et 69 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération de la CNIL n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, telle que modifiée le 14 octobre 2010 (AU-04);
Vu le dossier et ses compléments ;
Sur la proposition de M. Emmanuel de GIVRY, commissaire, et après avoir entendu les observations de Mme Elisabeth Rolin, commissaire du Gouvernement ;
Formule les observations suivantes :

Sur le responsable du traitement
EADS est un leader mondial de l’aéronautique, de l’espace, de la défense et des services associés.
La société mère du Groupe (EADS Holding NV) est soumise au code néerlandais de bonne gouvernance d’entreprise qui impose la mise en place d’un système d’alerte professionnelle pour les sociétés cotées.
La société EADS FRANCE SAS agit en qualité de responsable de traitement pour l’ensemble des sociétés du groupe EADS concernées par le dispositif d’alerte professionnelle. En effet, la Commission constate qu’elle détermine seule les finalités et les moyens du traitement.
Sur la finalité
La société EADS FRANCE SAS a déposé un dossier de demande d’autorisation pour un traitement de données à caractère personnel dénommé « Système d’alerte professionnelle Openline ».
La Commission rappelle qu’elle a adopté, le 8 décembre 2005, une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle.
Elle observe que le traitement présenté par la société EADS FRANCE SAS répond aux exigences prévues par l’autorisation unique, à l’exception des dispositions de l’article 1er relatives au fondement juridique et au champ d’application. En effet, la société EADS FRANCE SAS n’est soumise à aucune des dispositions visées par l’autorisation unique (droit français, loi «SOX» américaine du 31 juillet 2002, loi japonaise "Financial Instrument and exchange Act" du 6 juin 2006) et souhaite inclure dans le périmètre de son dispositif des domaines non visés par celle-ci.
La Commission considère que l’utilisation du dispositif d’alerte doit demeurer facultative et complémentaire par rapport aux autres voies légales de remontée de réclamations des salariés.
En outre, elle estime qu’afin de tenir compte de ce caractère intrinsèquement complémentaire, un dispositif d’alerte doit être limité dans son champ.
A cet égard, elle relève que le champ du dispositif d’alerte professionnelle présenté par la société EADS FRANCE SAS est restreint et strictement limité aux manquements graves qui s’appliquent aux domaines suivants :
  • comptable, financier, bancaire ;
  • lutte contre la corruption ;
  • pratiques anticoncurrentielles ;
  • harcèlement ;
  • divulgation de données confidentielles ;
  • conflits d’intérêts ;
  • sécurité des produits.
Sur le traitement de l’identité de l’émetteur de l’alerte, la Commission considère que l’obligation de s’identifier pour la personne à l’origine de l’alerte est de nature à limiter le risque de mise en cause abusive ou disproportionnée de l'intégrité professionnelle, voire personnelle des personnes concernées.
La Commission observe que le dispositif soumis par la société EADS FRANCE SAS n’est pas conçu pour permettre des signalements anonymes. L’émetteur de l’alerte professionnelle doit nécessairement s’identifier auprès du prestataire désigné par la société EADS FRANCE SAS pour recueillir les alertes. Son identité est traitée de façon confidentielle par les personnes chargées de la gestion des alertes.
La Commission estime que la finalité poursuivie par le traitement est déterminée, explicite et légitime.
Sur les données traitées
Les données traitées sont identiques à celles mentionnées dans l’autorisation unique n°4 :
  • identité, fonctions et coordonnées de l'émetteur de l'alerte professionnelle ;
  • identité, fonctions et coordonnées des personnes faisant l'objet d'une alerte ;
  • identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l'alerte ;
  • faits signalés ;
  • éléments recueillis dans le cadre de la vérification des faits signalés ;
  • compte rendu des opérations de vérification ;
  • suites données à l'alerte.
Sur les destinataires
Seront destinataires de tout ou partie des données, dans la limite de leurs attributions et pour la poursuite de la finalité précitée, le personnel de la société Deloitte and Touche Investments (Proprietary) Limited et le Compliance Office de EADS FRANCE SAS.
La Commission observe que les personnes chargées du recueil et du traitement des alertes professionnelles sont en nombre limité, spécialement formées et astreintes à une obligation de confidentialité contractuellement définie.
Sur l’information et le droit d’accès
Les utilisateurs potentiels du dispositif d’alerte seront informés par une communication sur l’intranet de la société.
La personne éventuellement mise en cause est informée dès l’enregistrement de ces données, après une première vérification. Des mesures conservatoires peuvent être prises avant l’information de la personne.
La Commission relève que les instances représentatives du personnel ont été informées du traitement.
Les droits d’accès et de rectification s’exercent directement par courrier électronique auprès de la personne habilitée de la société Deloitte & Touche Investments (Proprietary) Limited via l’adresse email openline@eadsopenline.com.
La Commission observe qu’il est clairement rappelé que l’utilisation abusive de ce dispositif peut exposer son auteur à des sanctions disciplinaires, ainsi qu’à des poursuites judiciaires.
Sur les mesures de sécurité
Les mesures de sécurité sont prises afin de préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès. L’accès au compte de messagerie électronique se fera par un identifiant et un mot de passe confidentiel et personnel.
Sur les autres caractéristiques du traitement
S’agissant des modalités de recueil de l’alerte, le salarié qui souhaite signaler un manquement dans les domaines précités peut contacter les personnes en charge du dispositif via une adresse mail dédiée.
Enfin, la Commission relève que les données relatives à l’alerte feront l’objet d’un transfert hors de l’Union Européenne, le prestataire chargé du recueil des alertes étant situé en République d’Afrique du Sud. Ce traitement garantit un niveau de protection suffisant notamment en raison des clauses contractuelles dont il fait l’objet.

Autorise, conformément à la présente délibération, la société EADS France SAS à mettre en œuvre le traitement susmentionné.
La présente délibération abroge les délibérations n°2011-138 du 12 mai 2011 et n°2010-087 du 25 mars 2010.
La Présidente
Isabelle FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 8 novembre 2012