COMPLIANCE – RGPD – Implication avec le système d’alerte

Le RGPD (Règlement UE n°2016/679) rentre en vigueur le 25 mai prochain. Il entraîne des changements notamment de comportement très important. Son enjeu est essentiel tant au niveau de son sujet qu’au regard des amendes qui sont prévues en cas de non-respect.

Au-delà de son application, il a, également, un impact important dans le cadre de la mise en place du ou des processus (selon qu’il y a un seul ou plusieurs systèmes d’alerte dans l’entreprise) d’alerte et de remontée de situations à priori « anormales », notamment mise en place à la suite de la loi SAPIN 2.

En raison même de la nature générale de ce règlement, il y a lieu, dès à présent si ce n’est déjà fait, de réfléchir à mettre en conformité ces systèmes d’alerte avec ce texte, n’exclue pas, de ce fait, de potentiels conflits entre les obligations issues de ce règlement et lesdits systèmes ou plus encore avec les textes.

Ainsi et pour convaincre les plus réticents, la simple reprise du paragraphe 1 de l’article 4 du règlement définissant ce qu’il faut entendre par « données à caractère personnel » laisse peu de marge de réflexion quant à savoir si les données collectées dans le cadre d’un système d’alerte rentrent ou pas dans le scope du règlement.

S’il est possible de répondre « non » dans certain cas notamment en cas d’alerte anonyme, il est fort probable que le « oui » sera la réponse qui se rencontrera le plus en pratique, d’autant que lesdites données peuvent aussi avoir été collectées de façon « indirecte » dans le cadre du processus de signalement ou d’investigations et même si ledit signalement a été réalisé anonymement.

Considérons donc que nous collections directement ou indirectement des données à caractère personnel, ce pose alors la question du consentement qui doit être donné (paragraphe 11 de l’article 4 du Règlement) par une action affirmative claire de la personne concernée.

Question loin de trouver une réponse simple, sauf en interne peut-être et sous réserve de considérer qu’une information générale du personnel avec signature d’un document à l’issue suffisent (quid des entreprises avec plusieurs centaines de collaborateurs voir plusieurs milliers). Par contre, dès que la collecte concerne une information à caractère personnel d’une personne extérieure à l’entreprise (partenaire, fournisseur, prestataire), la recherche de solution est beaucoup plus compliquée.

Ensuite, le paragraphe 1 de l’article 5 demande que seules les données pertinentes soient traitées et conservées uniquement le temps nécessaire. Si la nature des données semblent ne pas devoir poser plus de difficulté, il en va autrement de la durée de conservation si nous imaginons un dossier traité en interne dont la justice se saisit après un certain temps, surtout si nous ajoutons le temps des investigations par les magistrats.

Enfin, il ne faut pas perdre de vue que le traitement doit avoir un critère de légalité tel que défini par le paragraphe 1 de l’article 6. Mais ici, il semble que nous puisons recourir au point C de ce même paragraphe (respect d’une obligation légale) ou au point F (nécessaire aux fins des intérêts légitimes poursuivis par le responsable de traitement) d’autant que le considérant 47 du RGPD dispose que « le traitement de données à caractère personnel strictement nécessaire à la prévention de la fraude constitue un intérêt légitime du responsable de traitement concerné ».

Si cette phase de mise en place semble pouvoir trouver des solutions dans la plus part des situations, il en est différemment dans la phase d’utilisation.

En effet, comment traiter l’article 15 du règlement permettant à la personne concernée le droit d’obtenir une confirmation si ses données personnelles sont traitées et le cas échéant d’avoir accès à certaines (Ex. : Droit de rectification, d’effacement, Information sur la source lorsque les données ne sont pas collectées auprès de la personne concernée, etc…).

Cette question et quelques-unes en plus placent tant les responsables de traitement que les Compliance Officers dans des situations de fortes turbulences pour trouver ou mettre en pratique des solutions conciliant deux réglementations centrales dans notre droit.

En conclusion, s’il est possible de soutenir une intervention législative, d’ailleurs prévue au moins dans le règlement à l’article 23, il ne semble pas que cela soit la solution prise par la France dans son travail d’intégration dans le droit, il soit préférable de reprendre les lignes directrices du groupe de travail « Article 29 » sur le traitement des informations à caractère personnel dans le cadre d’une procédure d’alerte qui, à minima, recommande « qu’en aucun cas, la personne « accusée » ne peut obtenir d’information sur l’identité du dénonciateur, sauf si ce dernier fait une fausse déclaration ».


Votre commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l’aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l’aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l’aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l’aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s