Fermer la publicité
Journal d'information juridique et d'annonces légales

L'impact du RGPD sur les traitements de données à caractère personnel résultant de la loi Sapin 2

le - - Droit - Actualité du droit

L'impact du RGPD sur les traitements de données à caractère personnel résultant de la loi Sapin 2
© DR

La publication en septembre 2020 de la première édition du Code de la compliance , qui rassemble l'ensemble des textes intéressant la matière (antitrust, blanchiment, corruption, devoir de vigilance, lanceur d'alerte, etc.), témoigne de l'essor considérable de la discipline en France ces dernières années.

La loi n°2016-1691 du 9 décembre 2016 (dite « Sapin II »), qui a doté la France d'un cadre législatif destiné à prévenir les atteintes à la probité dans le monde des affaires, procède de ce phénomène. Peu de temps après, l'adoption du règlement général sur la protection des données (RGPD), en vigueur depuis le 25 mai 2018, a fixé des règles applicables aux sociétés concernant le traitement des données personnelles qu'elles stockent sur leur employés, clients ou fournisseurs. Le RGPD a été précisé à l'échelle nationale par la loi informatique et libertés[1].

Ces deux textes procèdent d'une même logique de responsabilisation des acteurs du monde des affaires, d'auto-évaluation et de la volonté de promouvoir une pratique plus éthique des activités des entreprises. Il en résulte un certain nombre d'obligations mises à leur charge, devant être conciliées entre elles.

Nous tenterons d'évoquer ici certain des problèmes liés au traitement des données à caractère personnel (« DCP ») dont la mise en œuvre est rendue nécessaire au titre des prescriptions de la loi Sapin II en matière de dispositifs de conformité. Il s'agit plus particulièrement d'identifier la manière dont s'articule l'exigence de transparence du RGPD avec celle de confidentialité émanant des principaux dispositifs de la loi Sapin II (systèmes de lanceur d'alerte, procédures d'évaluation etc.) qui ont vocation à identifier ou prévenir d'éventuels faits illicites, notamment de corruption, ayant pu ou susceptibles de se produire dans le cadre des activités de l'entreprise.

Les traitements de DCP résultant de la mise en œuvre des dispositifs prévus par de la loi Sapin II

Les prescriptions de la loi « Sapin II » imposent la mise en œuvre de dispositifs de conformité impliquant la collecte et le traitement de DCP sensibles. La conformité du traitement avec le RGPD incombe au responsable de traitement, défini par le règlement comme la personne physique ou morale qui, seule ou conjointement avec d'autres, détermine les finalités et les moyens du traitement (article 4 (7) du RGPD). Dans la majorité des cas, l'entreprise est reconnue comme étant responsable de traitement.

La question de la protection des données personnelles se pose notamment s'agissant des données - sensibles par définition tant pour l'entreprise que pour les individus impliqués - issues des dispositifs d'alertes professionnelles. En effet, l'article 8 de la loi Sapin II prévoit une obligation de mettre en place une procédure de signalements applicable à l'ensemble des personnes morales d'au moins 50 salariés. Les DCP récoltées à partir de l'alerte sont protégées par une exigence de confidentialité, qui doit être observée d'autant plus strictement que ces données peuvent s'avérer en lien avec des infractions pénales.

Pour guider les organismes dans leur mise en conformité, la CNIL a adopté le 18 juillet 2019 un référentiel relatif aux dispositifs d'alertes professionnelles[2]. Ce référentiel actualise en outre la doctrine de la CNIL en matière d'alertes professionnelles en la conformant notamment aux évolutions liées à la mise en application du RGPD. Selon Fabien Ganivet et Denise Lebeau-Marianna (DLA Piper), ce nouveau cadre devrait permettre aux organismes concernés de « mettre en œuvre les dispositifs de recueil de signalements prévus par le législateur […], en offrant une certaine sécurité juridique à ces systèmes d'alerte professionnelle et aux responsables de traitements »[3].

Il peut résulter de la mise en œuvre du plan de conformité imposée par la loi Sapin II, ou du mécanisme de lanceur d'alerte, une enquête interne si l'entreprise soupçonne que des faits litigieux ont été commis dans le cadre de ses activités. Ces enquêtes, dont la loi Sapin II a favorisé le recours sans toutefois en faire une obligation légale, peuvent être diligentées par un avocat mandaté par l'organisme qui sera chargé de vérifier la matérialité des faits litigieux. Dans un guide paru en juillet 2020 et destiné à assister les avocats au cours de ces procédures, le Conseil National des Barreaux (CNB)[4] a précisé que l'enquête interne constituait un traitement dont l'avocat, en sa qualité d'enquêteur, était le responsable. En effet, dans ce cas, l'avocat est chargé de collecter et d'analyser des DCP de manière indépendante puisqu'il détermine seul les finalités et les moyens de l'enquête.

Les exigences de finalité et base légale du traitement

Selon l'article 5 du RGPD, tout traitement mis en œuvre doit répondre à un objectif précis, justifié au regard de l'activité du responsable de traitement. Ainsi, la CNIL rappelle dans son référentiel précité l'obligation pour les entités concernées de définir les finalités du traitement préalablement à la mise en place d'un dispositif d'alerte.

L'organisme concerné devra ensuite déterminer la base légale du traitement. Conformément à l'article 6 du RGPD, un traitement n'est licite que s'il repose sur au moins l'une des bases légales prévues par le règlement.

Par exemple, le CNB identifie deux fondements sur lesquelles peuvent reposer les enquêtes internes, justifiant donc une collecte licite des DCP. Il s'agit d'une part de la conformité à une obligation légale incombant à l'organisme, comme c'est le cas pour les enquêtes diligentées à la suite d'une alerte professionnelle reçue via un dispositif d'alerte obligatoire. Dans ce cas-là, la collecte des DCP pourra prendre la forme d'une saisie de documents ou encore de la consultation des messageries professionnelles des salariés visés par l'enquête. D'autre part, l'enquête interne peut être fondée sur l'intérêt légitime poursuivi par l'organisme, qui, comme le souligne Marine Doisy, avocate-collaboratrice du cabinet Vigo, « ne sera justifié que si la personne concernée peut raisonnablement s'attendre, au moment et dans le cadre de la collecte des DCP, à ce que celles-ci fassent l'objet d'un traitement à une fin donnée »[5]. La prévention de la fraude constitue un exemple d'intérêt légitime.

Le principe de minimisation des données

Rappelons également que les traitements des DCP prévus par la loi Sapin II doivent également se conformer au principe de minimisation des données (article 5 (1) du RGPD) selon lequel seules les données strictement nécessaires au regard de la finalité du traitement doivent être collectées. En application de ce principe, les faits recueillis sont strictement limités aux actes visés par le dispositif d'alerte[6]. En pratique, au stade de l'instruction de l'alerte, le responsable de traitement devra déterminer et limiter la portée des données personnelles essentielles à l'enquête afin d'établir la vérité sur les faits litigieux. Au stade de l'émission de l'alerte, le responsable du traitement doit rappeler aux lanceurs d'alertes que les informations communiquées dans le cadre du dispositif doivent rester factuelles et présenter un lien avec l'objet du signalement.

Il peut toutefois s'avérer difficile en pratique de mesurer l'ampleur exacte des données à collecter dans les premières étapes d'une enquête interne, comme l'analysent Nicolas Brooke et Mathilde Gérot, avocats chez Signature Litigation. Selon eux, « la pertinence et l'adéquation des collectes de données personnelles doivent être systématiquement réévaluées tout au long de l'enquête »[7].

Les DCP ne doivent enfin être conservées par l'entreprise que le temps strictement nécessaire à la réalisation des finalités poursuivies (article 5 (1) du RGPD).

L'obligation d'information

Autre exigence majeure résultant du RGPD (articles 12, 13 et 14) : l'obligation d'information due par l'organisme aux personnes visées par le traitement de DCP. En vertu de cette obligation, les individus concernés (employés, collaborateurs, clients, fournisseurs extérieurs, etc.) doivent être informés par le responsable du traitement de la manière dont leurs données à DCP sont traitées. Ainsi, dans le cadre des dispositifs de signalements, le mis en cause a le droit d'être informé qu'il est visé par une alerte et des faits qui lui sont reprochés.

L'information des personnes et l'accès à leur DCP se heurte toutefois à la confidentialité de l'enquête. En effet, il est essentiel de veiller à ce que les données restent confidentielles, notamment en vertu des règles de protection des lanceurs d'alerte prévues par la loi Sapin II, étant donné le caractère sensible de ces informations ou le risque de destruction des preuves. C'est la raison qui a conduit le législateur européen à prévoir des exceptions à l'obligation d'information, lorsque celle-ci est contraire aux objectifs du traitement. Parmi ces exceptions, on peut mentionner les cas où la communication d'information à la personne concernée par le traitement est « susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement » (article 14 (5) du RGPD). Cette exception peut trouver application dans le cadre de l'enquête interne afin de limiter le risque de destruction des preuves.

Toujours au titre d'exception à l'obligation d'information dans les cas d'enquêtes, les données doivent rester confidentielles en vertu d'une obligation de secret professionnel à la charge de l'avocat enquêteur.

D'autres droits ayant pour finalité d'assurer la protection des DCP sont garantis par le RGPD et applicables aux traitements rendus nécessaires dans le cadre de la mise en œuvre de la loi Sapin II. Il convient par exemple de mentionner le droit d'effacement (article 17 du RGPD), accordé à la personne visée, lui permettant d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de DCP la concernant ou encore le droit d'opposition (article 21 du RGPD), permettant à la personne de s'opposer à tout moment, pour des raisons tenant à sa situation particulière, au traitement de ses DCP.

L'AIPD

Dans une logique d'autocontrôle, le RGPD impose que tout traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes fasse l'objet d'une analyse d'impact (AIPD) (article 35 (7) du RGPD). La conduite de cette analyse incombe au responsable du traitement. Selon la CNIL, une AIPD doit contenir au minimum : une description systématique des opérations de traitement envisagées et les finalités du traitement ; une évaluation de la nécessité de la proportionnalité des opérations de traitement au regard des finalités ; une évaluation des risques sur les droits et les libertés des personnes concernées ; et les mesures envisagées pour faire face aux risques.

Par exemple, le CNB précise dans son guide susmentionné que « [l]'enquête interne, en ce qu'elle a pour finalité de déterminer si des violations de la loi ou du règlement ont été commises et si des sanctions ou suites judiciaires doivent être prises, doit être précédée d'une AIPD ».

De même, une AIPD doit être conduite préalablement à l'établissement de tout dispositif de recueil de signalements ou encore en amont de la procédure d'évaluation de la situation des clients, fournisseurs ou d'intermédiaires (« due diligences »), imposée par l'article 17 de la loi Sapin II.

Chronique « Droit, Juriste et Pratique du Droit Augmentés »

Cette chronique a pour objectif, de traiter de questions d'actualité relatives à cette transformation. Dans un contexte où le digital, le big data et le data analytics, le machine learning et l'intelligence artificielle transforment en profondeur et durablement la pratique du droit, créant des « juristes augmentés » mais appelant aussi un « Droit augmenté » au regard des enjeux et des nouveaux business models portés par le digital.

Avec son Augmented Law Institute, l'EDHEC Business School dispose d'un atout majeur pour positionner les savoirs, les compétences et la fonction du juriste au centre des transformations de l'entreprise et de la société. Il se définit autour de 3 axes de développement stratégiques : son offre de formations hybrides, sa recherche utile à l'industrie du droit, sa plateforme de Legal Talent Management. https://www.edhec.edu/fr/ledhec-augmented-law-institute

[1] Loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

[2] CNIL, 18 juillet 2019, « Référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles ».

[3] Fabien Ganivet et Denise Lebeau-Marianna, « Compliance : ne négligez pas la protection des données personnelles », Magazine des Affaires, 31 janvier 2020

[4] CNB/CREA, juillet 2020, « Guide : L'avocat français et les enquêtes internes ».

[5] Marine Doisy, « La mise en place d'une procédure d'alertes conforme au RGPD dans l'entreprise ou l'ONG », Editions Législatives, 19 décembre 2019, https://www.editions-legislatives.fr/actualite/la-mise-en-place-d-une-procedure-d%E2%80%99alertes-conforme-au-rgpd-dans-l%E2%80%99entreprise-ou-l%E2%80%99ong

[6] Sébastien Millet, « Comment traiter les données sensibles issues d'alertes professionnelles ? », Ellipse Avocat, 9 mai 2019, https://www.ellipse-avocats.com/2019/05/comment-traiter-les-donnees-sensibles-issues-dalertes-professionnelles/

[7] Nicolas Brooke et Mathilde Gérot, “The impact of SAPIN 2 and GDPR on internal investigations”, 30 juillet 2020, https://www.law.com/international-edition/2020/07/30/the-impact-of-sapin-2-and-gdpr-on-internal-investigations/?slreturn=20201030024851




Ses derniers articles

Abonnez-vous à l'offre Papier + Numérique

Affiches Parisiennes Journal d'information juridique et d'annonces légales

  • ›   Pour plus de contenu, papier + web
  • ›   l’accès aux annonces légales,
  • ›   l’accès aux ventes aux enchères.
Je m'abonne

À lire également


Réagir à cet article

Message déjà envoyé Adresse e-mail non valide


Fermer
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies et de technologies similaires par notre société ainsi que par des tiers, afin de réaliser des statistiques d'audiences et de vous proposer des services éditoriaux et la possibilité de partager des contenus sur des réseaux sociaux. En savoir plus / paramétrer