CNIL, 23 janvier 2014, 2014-023

(Demande d'autorisation n° 1706118) La Commission nationale de l'informatique et des libertés,

Saisie par

ALLIANCE HEALTHCARE FRANCE d'une demande d'autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d'un dispositif d'alerte professionnelle;

Vu

la Convention n° 108 du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel ; Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement de données à caractère personnel et à la libre circulation de ces données ; Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, notamment son article 25-I-4° ; Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés ; Vu la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle, telle que modifiée le 14 octobre 2010 ; Vu le dossier et ses compléments ; Sur la proposition de M. Emmanuel de GIVRY, commissaire, et après avoir entendu les observations de M. Jean-alexandre SILVY, commissaire du Gouvernement,

Formule les observations suivantes

: A titre liminaire, la Commission rappelle qu'elle a adopté, le 8 décembre 2005, une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004). Elle observe que le traitement objet de la présente délibération ne répond pas aux conditions prévues par cette autorisation unique, notamment s'agissant du fondement juridique et du champ d'application du dispositif. La Commission doit, par conséquent, procéder à une analyse spécifique du traitement, au regard des principes relatifs à la protection des données à caractère personnel et, notamment, de l'article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs. Responsable du traitement La Commission est saisie par Alliance Healthcare France. Cette société est une holding financière spécialisée dans le domaine de la répartition pharmaceutique et de la distribution de produits de santé. Sur la finalité Le traitement dont est saisie la Commission a pour finalité la mise en œuvre d'un dispositif d'alerte professionnelle dédié au traitement des alertes des collaborateurs d' Alliance Healthcare Group France portant sur des manquements graves dans les domaines suivants : -financier, bancaire et comptable ; -Lutte contre la corruption ; -Lutte contre les pratiques anticoncurrentielles ; La Commission considère que cette finalité est déterminée, explicite et légitime. Elle relève que la mise en œuvre de ce traitement vise à renforcer le contrôle interne compte-tenu des activités internationales du groupe lequel est soumis à la loi britannique dite « UK bribery act ». La Commission rappelle qu'un dispositif d'alerte professionnelle doit être limité dans son champ d'application et que son utilisation doit demeurer facultative et complémentaire par rapport aux autres voies légales de remontée de réclamations. La Commission estime qu'en l'espèce le dispositif d'alerte qui lui est présenté est limité dans son champ d'application et répond à l'intérêt légitime du responsable du traitement, conformément aux dispositions de l'article 7-5° de la loi du 6 janvier 1978 modifiée. S'agissant des modalités de signalement des alertes, la Commission prend acte que les collaborateurs d'Alliance Healthcare Group France disposeront d'une adresse électronique et d'une hotline téléphonique dédiées. Sur les données traitées Les données collectées par l'intermédiaire du dispositif examiné par la Commission sont les suivantes : identité, fonction et coordonnées de l'émetteur de l'alerte ; identité, fonction et coordonnées des personnes faisant l'objet d'une alerte ; identité, fonction et coordonnées des personnes intervenant dans le recueil ou le traitement de l'alerte ; faits signalés ; éléments recueillis dans le cadre de la vérification des faits signalés ; compte rendu des opérations de vérification ; suites données à l'alerte. La Commission considère que le traitement de ces données est adéquat, pertinent et non excessif au regard de la finalité poursuivie. La Commission rappelle que l'obligation de s'identifier à l'occasion de l'émission d'une alerte professionnelle permet de limiter les risques de mises en cause abusives ou disproportionnées. Elle relève, à ce titre, que le dispositif prévu par Alliance Healthcare France recommande aux utilisateurs de s'identifier, étant précisé que l'identité de ces derniers est traitée de manière confidentielle. En cas d'alerte anonyme, des garanties complémentaires seront mises en place. Sur les destinataires Les destinataires de tout ou partie des données à caractère personnel du présent traitement sont les personnes habilitées travaillant au sein de l'entité concernée par l'alerte, les personnes habilitées travaillant au sein d'une entité du groupe auquel appartient l'entité concernée, susceptibles d'intervenir dans la gestion des alertes et des vérifications (en particulier la société mère localisée au Royaume-Uni), le prestataire externe et son personnel spécialement formé au recueil et au traitement des alertes professionnelles. La Commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement. Elle relève, par ailleurs, que l'intégralité des personnes impliquées dans le traitement d'une alerte est astreinte à une obligation de confidentialité. Sur l'information et le droit d'accès Les personnes concernées sont informées, conformément à l'article 32 de la loi du 6 janvier 1978 modifiée, par un courriel adressé à l'ensemble des collaborateurs d'Alliance Healthcare Group France. En outre la politique spécifique relative au dispositif d'alertes professionnelles fera l'objet d'une diffusion sur l'intranet des sociétés du groupe ainsi qu'un affichage au secrétariat des établissements concernés. Les personnes mises en cause par une alerte en sont informées dès l'enregistrement de données les concernant. Cette information peut toutefois être retardée le temps nécessaire à l'adoption de mesures conservatoires visant à préserver des preuves. Les droits d'accès et de rectification s'exercent auprès de la Direction juridique d'Alliance Healthcare France. La Commission considère que ces modalités d'information et d'exercice des droits des personnes sont satisfaisantes. Sur les mesures de sécurité Des mesures de sécurité sont prises par le responsable de traitement afin de préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès. Les accès aux rapports d'alerte sont limités aux personnes dûment habilitées. Les mots de passes sont régulièrement renouvelés. Le traitement comporte, par ailleurs, une fonctionnalité de journalisation des opérations de consultation, de modification ou de création permettant d'identifier l'utilisateur à l'origine d'une opération. Ces mesures de sécurité n'appellent pas d'observation de la Commission au regard de l'article 34 de la loi du 6 janvier 1978 modifiée. Sur les autres caractéristiques du traitement La Commission relève que les durées de conservation prévues par le responsable de traitement sont identiques à celles mentionnées à l'article 6 de l'AU-004, à savoir : les données relatives à une alerte considérée, dès son recueil par le responsable du traitement, comme n'entrant pas dans le champ du dispositif sont détruites ou archivées sans délai ; lorsque l'alerte n'est pas suivie d'une procédure disciplinaire ou judiciaire, les données sont détruites ou archivées dans un délai de deux mois à compter de la clôture des opérations de vérification ; lorsqu'une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données sont conservées jusqu'au terme de la procédure. La Commission considère que ces durées de conservation n'excèdent pas celles qui sont nécessaires à l'accomplissement de la finalité poursuivie par le responsable de traitement.

Autorise, conformément à la présente délibération

, ALLIANCE HEALTHCARE FRANCE à mettre en œuvre le traitement susmentionné. La Présidente Isabelle FALQUE-PIERROTIN