La Cnil a modifié son AU-004, pourquoi un tel changement et quelles conséquences, surtout à quelques mois de l’entrée en vigueur du RGPD....

Pourquoi un tel changement ?

Le 22 juin dernier, l’AU 004 a été modifiée par la Cnil car depuis le 9 décembre 2016, la loi n°2016-169 dite « loi Sapin 2 » créer des obligations en matière de lutte anti-corruption pour certaines catégories d’entreprises.

Qui est visé et quelles conséquences ?

Les entreprises visées sont celles qui :

• emploient au moins 500 salariés,
• ont un chiffre d’affaires supérieur à 100 millions d’euros,
• appartiennent à un groupe de sociétés dont la société mère a son siège social en France (qui a au moins 500 employés), dans ce cas les mesures touchent :
  • la société mère
  • les filiales, où qu’elles soient
  • les sociétés contrôlées au sens de l’article L233-3 du Code de commerce.

Dans ce contexte, ces sociétés sont contraintes d’adopter un grand nombre de procédures pour lutter contre la corruption (code de conduite, évaluation de risque et audit de ces évalutions…) et notamment des dispositifs d’alertes professionnelles, « whistleblowing ».

Cette obligation est entrée en vigueur le 1er juin 2017. A cette date, et un peu avant, toutes ces entreprises ont été contraintes, conformément à l’article 25 de la loi Informatique et libertés, de demander une autorisation à la Cnil pour la mise en place de leurs systèmes d’alerte professionnelle ou « whistleblowing ».

Or l’AU-004 dans son ancienne rédaction ne permettait pas de couvrir les obligations liées à la nouvelle loi Sapin 2. Face aux fortes demandes des entreprises, la Cnil a revu son autorisation unique n°4.

Le premier effet est la simplification des démarches auprès de la Cnil pour toutes les entreprises. En effet si les entreprises mettent place un système d’alerte professionnelle conforme à la loi Sapin 2, elles peuvent bénéficier de la nouvelle AU-004.

Le second effet est de pouvoir installer un dispositif d’alerte professionnelle pour de nombreux cas.

L’ancienne AU-004 s’attachait à la dénonciation de violation dans les domaines financiers, anti-concurrence, harcèlement et discrimination au travail, santé, hygiène et sécurité et protection de l’environnement. Désormais, l’AU-004 est entendue aux finalités supplémentaires suivantes :

• tout crime ou délit,
• violation grave et manifeste d’un acte engagement international régulièrement ratifié ou approuvé par la France,
• violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international régulièrement ratifié,
• violation grave et manifeste de la loi ou du règlement,
• menace ou préjudice grave pour l’intérêt général, dont l’émetteur d’alerte a eu personnellement connaissance,
• obligations nées de règlements européens, du code monétaire et financier ou de l’AMF,
• violation du Code de conduite de la société pour des faits de corruption ou de trafic d’influence.

A noter : sont exclues du champ des alertes les éléments couverts par le secret-défense, le secret médical ou dans le secret des relations « avocats-clients ». A bon entendeur…

La dernière conséquence est la « responsabilisation » des entreprises : l’AU-004 ajoute des procédures supplémentaires de protection des données à caractère personnel, à savoir :

• des mesures de protections pour l’anonymat des lanceurs d’alertes : leur identification reste secrète sauf en cas de réquisition judiciaire ET sous réserve d’avoir le consentement du lanceur d’alerte,
• des mesures de protections pour l’anonymat des personnes mises en cause : leur identification reste secrète sauf en cas de réquisition judiciaire ET sous réserve d’avoir caractérisé la véracité de l’alerte,
• plus de transparence : une obligation au profit des employés mais aussi des prestataires extérieurs, d’information complète sur les modalités d’utilisation et de gestion des données traitées dans les dispositifs d’alerte professionnelle ou "whistleblowing" (destinataires, les étapes…).

Perspective : à moins d’un an de l’entrée en vigueur du règlement européen sur la protection des données (RGPD) qui supprime l’obligation de formalités préalables auprès de la Cnil, pourquoi la Cnil a-t-elle mis à jour son AU-004 ?

Il est vrai qu’on peut légitimement se poser la question. En réalité malgré l’abandon des formalités préalables auprès de la Cnil au 25 mai 2018, il faut impérativement se rappeler que les traitements en vigueur avant le 25 mai 2018 sont soumis à la loi actuelle et doivent donc faire l’objet de formalités préalables.
A défaut, l’entreprise peut être sanctionnée d’amende allant jusqu’à 3 millions d’euros, assortie d’une « mauvaise publicité ».

A noter : A compter du 25 mai 2018, les entreprises auront l’obligation de réaliser les « formalités préalables » en interne, par la tenue d’un registre des traitements. Alors, il conviendrait de faire figurer dans ce registre les traitements antérieurement déclarés à la Cnil....

Yaël Cohen-Hadria, Avocate. www.ych-avocats.fr [->yael.cohenhadria@cabinet-davocats.com]