Lorsque vous bénéficier d’une formalité simplifiée auprès de la Cnil, il est essentiel que votre traitement respecte exactement les dispositions de la formalité simplifiée à laquelle vous souscrivez. A défaut, votre formalité ne peut être valide.

Pour rappel, tout traitement automatisé de données à caractère personnel doit faire l’objet de formalités préalables auprès de la Cnil, c’est donc le cas des traitements ayant pour objet la mise en place d’alertes professionnelles au sein d’une entreprise.

Un dispositif d’alerte professionnelle (« whistleblowing ») et un dispositif qui permet aux employés de signaler à leur employeur des comportements qui seraient contraire aux règles de droit français applicables dans les domaines financier, comptable, bancaire, de lutte contre la corruption et de la concurrence, d’organiser la vérification de l’alerte au sein de l’organisme concerné.

Face à la complexité du processus et afin de faciliter les démarches de certaines entreprises, la Cnil a simplifié les formalités préalables des entreprises qui mettent en place un dispositif d’alerte professionnelle conforme aux dispositions de l’autorisation unique n°4.

Pourtant la Cnil a délivré près de 90 autorisations individuelles pour des finalités plus larges que celles prévues dans l’autorisation unique n°4. Ainsi, la Cnil a décidé de régulariser ces autorisations en élargissant le champ d’application de l’autorisation unique n°4. Cette autorisation unique concerne désormais les alertes professionnelles signalant des manquements graves en rapport avec les domaines comptable, financier, bancaire et de lutte contre la corruption et désormais le respect des règles en matière de concurrence.

Si vous avez déjà réalisé un engagement de conformité à l’autorisation n°4, la Cnil recommande de vérifier si le périmètre du dispositif d’alerte professionnelle respecte le nouveau champ défini par la Cnil. Si c’est le cas, il n’est pas nécessaire de procéder à une nouvelle déclaration de conformité à l’autorisation unique n°4. En revanche,  si le dispositif ne respecte pas strictement les conditions fixées à l’article 1er de l’autorisation unique modifiée, les entreprises disposent d’un délai de 6 mois pour mettre leurs traitements en conformité.

En résumé, une entreprise qui met en œuvre un dispositif d’alerte professionnel doit :

–          réaliser un engagement de conformité à l’autorisation unique n°4 ;

–          si le traitement n’est pas strictement conforme à cette autorisation, il convient de réaliser une demande d’autorisation individuel

Nous contacter