Logo pappers Justice

CNIL, 24 septembre 2009, 2009-551

Mots clés
société • rapport • contrat • corruption • publicité • rectification • service

Chronologie de l'affaire

Synthèse

Voir plus

Résumé

Vous devez être connecté pour pouvoir générer un résumé.

Suggestions de l'IA

Texte intégral

(Demande d'autorisation n°1371384) La Commission nationale de l'informatique et des libertés,

Vu

la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ; Vu la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée en 2004, notamment son article 25-I-4° ; Vu le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifié en 2007 ; Vu la délibération de la CNIL n°2005-305 du 8 décembre 2005 portant autorisation unique AU-004 de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle ; Vu la demande d'autorisation, présentée par la société ADECCO MEDICAL, d'un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d'un dispositif d'alerte professionnelle ; Sur le rapport de M. Hubert BOUCHET, commissaire et les observations de Mme Elisabeth ROLIN, commissaire du gouvernement ;

Formule les observations suivantes

: La société ADECCO MEDICAL a déposé le 11 juin 2009 un dossier de demande d'autorisation de mise en œuvre d'un dispositif d'un traitement de données à caractère personnel ayant pour finalité la mise en place d'un dispositif d'alerte professionnelle et dénommé comme tel. La Commission considère qu'il y a lieu de faire application des dispositions de l'article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d'exclure des personnes du bénéfice d'un droit, d'une prestation ou d'un contrat en l'absence de toute disposition législative ou réglementaire. Il convient d'examiner ledit traitement au regard des principes relatifs à la protection des données à caractère personnel, et notamment, de l'article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. La Commission estime, en conséquence, que les dispositifs d'alerte professionnelle doivent être conçus comme uniquement complémentaires par rapport aux autres modes d'alerte dans l'entreprise. Elle estime ainsi qu'afin de tenir compte de ce caractère intrinsèquement complémentaire, un dispositif d'alerte doit être limité dans son champ. La Commission relève que le dossier soumis par la société ADECCO MEDICAL au soutien de sa demande d'autorisation indique clairement que le dispositif d'alerte est limité aux aspects financiers, comptables, bancaires et de lutte contre la corruption ainsi que la lutte contre les comportements anticoncurrentiels. La Commission relève encore que l'engagement de la société ADECCO MEDICAL de mettre en place ce dispositif d'alerte permettant le signalement de manquements au droit de la concurrence est mentionné dans la décision du Conseil de la concurrence du 2 février 2009 (décision 09-D-05). Par ailleurs, la Commission considère que l'émetteur de l'alerte professionnelle doit s'identifier, son identité étant traitée de façon confidentielle par l'organisation chargée de la gestion des alertes. Elle estime encore que l'alerte d'une personne qui souhaite rester anonyme ne peut être recueillie que par exception et aux conditions suivantes : que le traitement des alertes anonymes soit entouré de précautions particulières, telles qu'un examen préalable, par son premier destinataire, de l'opportunité de sa diffusion dans le cadre du dispositif, que l'organisme n'incite pas les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et que la publicité faite sur l'existence du dispositif en tienne compte, la procédure devant au contraire être conçue de façon à ce que les employés s'identifient auprès de l'organisation chargée de la gestion des alertes. Les droits d'accès et de rectification s'exerceront auprès du service des ressources humaines de la société ADECCO Groupe France, 2 Bd du 11 novembre 1918, Villeurbanne. Les catégories de données à caractère personnel enregistrées seront les données d'identification du salarié qui alerte (nom, prénom et fonction), les données d'identification de personnes éventuellement mises en cause, les données relatives aux faits signalés, les rapports d'enquête et les suites données à l'alerte. Les destinataires des informations seront, dans la limite de leurs attributions et pour la poursuite de la finalité précitée, le personnel habilité de la société Ethic-Points et le personnel chargé de la gestion des alertes dûment habilité. Dans tous les cas, les personnes chargées du recueil et du traitement des alertes professionnelles sont en nombre limité, spécialement formées et astreintes à une obligation renforcée de confidentialité contractuellement définie. Dans ces conditions, la Commission autorise la société ADECCO MEDICAL à mettre en œuvre un traitement de données à caractère personnel ayant pour finalité la mise en place d'un dispositif d'alerte professionnelle. Le Président, Alex TURK

Commentaires sur cette affaire

L'accès aux commentaires est réservé aux utilisateurs premium.
Note...