DELIBERATION n°2014-006 du 9 janvier 2014

Commission Nationale de l'Informatique et des Libertés
DELIBERATION n°2014-006 du 9 janvier 2014
Délibération n° 2014-006 du 9 janvier 2014 autorisant la société EADS France S.A.S. à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un dispositif d’alerte professionnelle.
Etat: VIGUEUR

(Demande d’autorisation n° 1728285)
La Commission nationale de l'informatique et des libertés,
Saisie par la société EADS France S.A.S. d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un dispositif d’alerte professionnelle.;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération de la CNIL n°2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, telle que modifiée le 14 octobre 2010 (AU-004);
Vu le dossier et ses compléments ;
Sur la proposition de M. Emmanuel de GIVRY, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
A titre liminaire, la Commission rappelle qu’elle a adopté, le 8 décembre 2005, une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (autorisation unique n°004).
Elle observe que le traitement objet de la présente délibération ne répond pas aux conditions prévues par cette autorisation unique, notamment s’agissant du fondement juridique et du champ d’application du dispositif.
La Commission doit, par conséquent, procéder à une analyse spécifique du traitement, au regard des principes relatifs à la protection des données à caractère personnel et, notamment, de l’article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Responsable du traitement
EADS est un leader mondial de l’aéronautique, de l’espace, de la défense et des services associés.
La société mère du Groupe (EADS Holding NV) est soumise au code néerlandais de bonne gouvernance d’entreprise qui impose la mise en place d’un système d’alerte professionnelle pour les sociétés cotées.
Suite à la demande expresse de l’Agence européenne de sécurité aérienne (EASA) et des risques majeurs que représente un défaut de qualité résultant d’un non-respect de règles légales et des standards internationaux, EADS souhaite étendre le périmètre de son dispositif d’alerte professionnelle au domaine de la Qualité.
Elle est également soumise à la norme européenne actuellement en vigueur qui est le référentiel ISA EN 9100 : 2009 dont le titre est « Système de management de la qualité-Exigences pour les Organismes de l’Aéronautique, l’Espace et la Défense ».
La société EADS fonde l’ensemble de ses règles en matière de gestion de la qualité des produits dans le respect de ces règles.
La société EADS FRANCE SAS agit en qualité de responsable de traitement pour l’ensemble des sociétés du groupe EADS concernées par le dispositif d’alerte professionnelle. En effet, la Commission constate qu’elle détermine seule les finalités et les moyens du traitement.
Sur la finalité
La société EADS FRANCE SAS a déposé un dossier de demande d’autorisation pour la mise en place d’un dispositif d’alerte professionnelle dénommé « Système d’alerte professionnelle Openline ». EADS souhaite faire appliquer ce dispositif au domaine de la qualité, qui est défini comme étant l’ensemble des règles et des procédures internes et externes mises en œuvre au sein du Groupe EADS permettant de livrer un produit ou un service suivant ses spécifications.
La Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
Elle observe que le traitement présenté par la société EADS FRANCE SAS répond aux exigences prévues par l’autorisation unique, à l’exception des dispositions de l’article 1er relatives au fondement juridique et au champ d’application. En effet, la société EADS FRANCE SAS n’est soumise à aucune des dispositions visées par l’autorisation unique (droit français, loi «SOX» américaine du 31 juillet 2002, loi japonaise "Financial Instrument and exchange Act" du 6 juin 2006) et souhaite inclure dans le périmètre de son dispositif un domaine non visé par celle-ci.
La Commission rappelle l’utilisation du dispositif d’alerte doit demeurer facultative et complémentaire par rapport aux autres voies légales de remontée de réclamations des salariés.
En outre, elle estime qu’afin de tenir compte de ce caractère intrinsèquement complémentaire, un dispositif d’alerte doit être limité dans son champ.
A cet égard, elle relève que le champ du dispositif d’alerte professionnelle présenté par la société EADS FRANCE SAS est restreint et strictement limité aux manquements graves qui s’appliquent au domaine de la Qualité.
Sur le traitement de l’identité de l’émetteur de l’alerte, la Commission considère que l’obligation de s’identifier pour la personne à l’origine de l’alerte est de nature à limiter le risque de mise en cause abusive ou disproportionnée de l'intégrité professionnelle, voire personnelle des personnes concernées.
La Commission observe que le dispositif soumis par la société EADS France SAS n’est pas conçu pour permettre des signalements anonymes. L’émetteur de l’alerte professionnelle doit nécessairement s’identifier auprès du prestataire désigné par la société EADS FRANCE SAS pour recueillir les alertes. Son identité est traitée de façon confidentielle par les personnes chargées de la gestion des alertes.
La Commission estime que la finalité poursuivie par le traitement est déterminée, explicite et légitime.
Sur les données traitées
Les données traitées sont identiques à celles mentionnées dans l’autorisation unique n°004 :
  • identité, fonctions et coordonnées de l'émetteur de l'alerte professionnelle ;
  • identité, fonctions et coordonnées des personnes faisant l'objet d'une alerte ;
  • identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l'alerte ;
  • faits signalés ;
  • éléments recueillis dans le cadre de la vérification des faits signalés ;
  • compte rendu des opérations de vérification ;
  • suites données à l'alerte.
Ces données apparaissent pertinentes au regard de la finalité poursuivie, conformément aux dispositions de l’article 6-3° de la loi du 6 janvier 1978 modifiée.
Sur le traitement de l’identité de l’émetteur de l’alerte, la Commission considère que l’obligation de s’identifier pour l’émetteur de l’alerte est de nature à limiter les risques de mise en cause abusive ou disproportionnée de l’intégrité professionnelle, voire personnelle des personnes concernées.
En l’espèce, le dispositif implique par défaut que l’émetteur de l’alerte professionnelle s’identifie. Son identité est néanmoins traitée de façon confidentielle par les personnes chargées de la gestion des alertes.
Sur les destinataires
Seront destinataires de tout ou partie des données, dans la limite de leurs attributions et pour la poursuite de la finalité précitée, le personnel de la société Deloitte and Touche Investments (Proprietary) Limited et le Compliance Office de EADS FRANCE SAS.
La Commission observe que les personnes chargées du recueil et du traitement des alertes professionnelles sont en nombre limité, spécialement formées et astreintes à une obligation de confidentialité contractuellement définie.
Sur l’information et le droit d’accès
Les utilisateurs potentiels du dispositif d’alerte seront informés par une communication sur l’intranet de la société.
La personne éventuellement mise en cause est informée dès l’enregistrement de ces données, après une première vérification. Des mesures conservatoires peuvent être prises avant l’information de la personne.
La Commission relève que les instances représentatives du personnel ont été informées du traitement.
Les droits d’accès et de rectification s’exercent directement par courrier électronique auprès de la personne habilitée de la société Deloitte & Touche Investments (Proprietary) Limited via l’adresse email : openline@eadsopenline.com.
La Commission observe qu’il est clairement rappelé que l’utilisation abusive de ce dispositif peut exposer son auteur à des sanctions disciplinaires, ainsi qu’à des poursuites judiciaires.
La Commission considère que ces modalités d’information et d’exercice des droits des personnes sont satisfaisantes.
Sur les mesures de sécurité
Les mesures de sécurité sont prises afin de préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès. L’accès au compte de messagerie électronique se fera par un identifiant et un mot de passe confidentiel et personnel.
Ces mesures de sécurité apparaissent satisfaisantes au regard des dispositions de l’article 34 de la loi du 6 janvier 1978 modifiée. La Commission rappelle toutefois que cette obligation nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur les autres caractéristiques du traitement
La Commission relève que les durées de conservation prévues par le responsable de traitement sont identiques à celles mentionnées à l’article 6 de l’autorisation unique n°004 :
  • Les données relatives à un signalement considéré dès son recueil par le responsable du traitement des signalements comme n'entrant pas dans le champ du dispositif sont détruites immédiatement ;
  • Lorsque le signalement n'est pas suivi d'une procédure disciplinaire ou judiciaire, les données relatives à ce signalement sont détruites par le responsable du traitement des signalements ou ses délégataires dans un délai de deux mois à compter de la clôture des opérations de vérification ;
  • Lorsqu'une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données relatives au signalement sont conservées pendant un délai qui n’excédera pas le délai de prescription applicable ;
  • Les données faisant l'objet de mesures d'archivage sont conservées, dans le cadre d'un système d'information distinct à accès restreint, pour une durée n'excédant pas les délais de prescription applicable.
Ces durées de conservation apparaissent pertinentes au regard de la finalité poursuivie par le traitement, conformément aux dispositions de l’article 6-5° de la loi du 6 janvier 1978 modifiée.
S’agissant des modalités de recueil de l’alerte, le salarié qui souhaite signaler un manquement dans le domaine précité peut contacter les personnes en charge du dispositif via une adresse mail dédiée.
Enfin, la Commission relève que les données relatives à l’alerte feront l’objet d’un transfert hors de l’Union Européenne, le prestataire chargé du recueil des alertes étant situé en République d’Afrique du Sud. Ce traitement garantit un niveau de protection suffisant notamment en raison des clauses contractuelles dont il fait l’objet.

Autorise, conformément à la présente délibération, EADS FRANCE SAS à mettre en œuvre le traitement susmentionné.
La Présidente
Isabelle FALQUE-PIERROTIN




Nature de la délibération: Autorisation
Date de la publication sur legifrance: 26 février 2014