L’attention nouvelle apportée à la protection des données à caractère personnel depuis l’entrée en application du RGPD ne doit pas faire oublier que le domaine de la compliance fait l’objet d’une attention ancienne et marquée des autorités de contrôles et notamment de la CNIL pour les traitements mis en œuvre en la matière, par exemple en matière d’enquêtes internes ou d’alertes professionnelles. En témoigne notamment l’ancienne autorisation unique AU-004 de la CNIL sur les traitements de données dans le cadre d’un dispositif d’alerte remplacée par le référentiel relatif aux traitements de données destinés à la mise en œuvre d’un dispositif d’alertes professionnelles en date du 18 juillet 20191. La succession de ces deux instruments témoigne ainsi de la prise en compte de la spécificité de ces traitements, de leur nature et de leurs conséquences potentielles pour la vie privée des personnes. Avec la nécessité pour les professionnels d’assurer la compatibilité et la cohérence des dispositions légales et réglementaires applicables.
La jurisprudence de la CNIL depuis 2018 témoigne par ailleurs de la nécessité de prendre en compte les principes du droit de la protection des données et leurs déclinaisons concrètes, qu’il s’agisse de la mise en œuvre d’une véritable gouvernance en la matière, du suivi de la conformité des acteurs impliqués ou encore des actions entreprises pour assurer un niveau de sécurité des données adéquat. A défaut, au-delà de l’éventuelle mise en cause de la responsabilité des acteurs concernés, c’est aussi l’efficacité des procédures (et notamment pénales) mises en œuvre qui pourrait être atteinte, à travers par exemple la disqualification des preuves collectées au regard des atteintes portées au droit de la protection des données.
Il importe dès lors de rappeler les principes applicables, principes rappelés régulièrement par la CNIL (et les autorités de contrôles européennes) comme le Conseil d’Etat et leurs déclinaisons particulières en matière de compliance.
Protection des données : des obligations spécifiques ?
L’application des principes du RGPD et de la loi Informatique et libertés impose d’adopter une approche proactive et anticipée, afin de permettre une prise en compte de ces dispositions en amont, conformément au principe de responsabilité (accountability). C’est le cas notamment dans le cadre des enquêtes internes.
La conformité de ces dernières au droit de la protection des données à caractère personnel impose en effet de déterminer quels acteurs seront impliqués et quelle gouvernance mettre en place, notamment dans le cadre d’une pluralité d’acteurs et plus encore à l’échelle européenne ou internationale. Cette question préalable est cruciale car elle précède toutes celles qui devront être réglées par les personnes en charge de l’enquête et portant notamment sur la nature des données visées par l’enquête interne et les garanties à apporter. Cette gouvernance, dont la CNIL a régulièrement souligné qu’elle devait être effective, a vocation à permettre de prendre en compte les aspects relatifs à la protection des données tout au long de l’enquête, conformément au principe de privacy-by-design (par exemple pour veiller au respect du principe de minimisation). Ce point de départ a aussi pour objet de lister les acteurs intervenant tout au long de l’enquête et les obligations mises à leur charge.
De plus, la mise en œuvre des principes de l’article 5 du RGPD suppose aussi de s’interroger sur la base juridique des traitements de données effectués dans le cadre d’une enquête interne : s’agit-il en effet d’une obligation légale ou de l’intérêt légitime du responsable de traitement, avec les conséquences logiques en termes d’information et de gestion des droits des personnes concernées ? Lorsque la conduite d’une enquête interne est effectuée sur le fondement de l’intérêt légitime d’une entreprise, cet intérêt devra aussi être analysé au regard des critères posés par la CNIL2 et le Comité européen à la protection des données, notamment au titre des risques pour les droits et libertés fondamentales des personnes concernées. Cette dernière analyse devra être documentée et renseignée, notamment pour éviter toute remise en cause ultérieure ou pour justifier la nature des données collectées.
Par ailleurs, la conduite d’une telle enquête à l’échelle européenne ou internationale suppose d’identifier tous les acteurs concernés d’une part et d’encadrer les éventuels transferts internationaux de données personnelles d’autre part. Ce dernier point est particulièrement sensible dans un contexte d’insécurité juridique lié à l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne le 16 juillet 20203. En l’espèce, il s’agira de pouvoir identifier les données éventuellement requises, les conditions de leur transfert et les garanties apportées, conformément aux articles 44 et suivants du RGPD. Il incombera alors aux responsables de traitement de documenter les garanties apportées et le cas échéant les raisons motivant ces transferts.
La mise en place de ces garanties (par exemple de clauses contractuelles types conformément aux clauses modèles révisées de la Commission européenne4 du 4 juin 2021) nécessite aussi de pouvoir déterminer les différents acteurs intervenant (comme les éventuels prestataires pouvant être qualifiés de sous-traitants au sens de l’article 28 du RGPD) et leur localisation. Cet aspect est essentiel et doit être considéré avec attention, alors que la CNIL a intégré les services de cloud dans son programme de contrôles pour 20225 et qu’elle a renforcé la coopération avec les autres autorités de contrôle européennes en la matière. Cette analyse est particulièrement complexe pour assurer une réelle protection des données concernées, même en cas de transfert hors de l’Union européenne et pour être en mesure de documenter et de justifier des « garanties appropriées » déployées, garanties qui doivent faire l’objet d’un examen détaillé et approfondi, conformément à la jurisprudence de la CJUE.
La mise en place d’un dispositif d’alerte interne doit également être appréhendée à l’aune des traitements de données à caractère personnel qui sont mis en œuvre. A ce titre, il doit être souligné que ce dispositif doit obligatoirement faire l’objet d’une analyse d’impact (AIPD) conformément à l’article 35 du RGPD et à la délibération de la CNIL du 11 octobre 20186. Cela signifie concrètement au préalable la mise en place d’une gouvernance spécifique, comme cela a déjà été rappelé et d’un pilotage de ce dispositif, afin d’évaluer les risques en amont. Cette analyse doit notamment permettre de prendre en compte les aspects liés à la sécurité des données traitées et aux garanties apportées en matière de confidentialité. Cette AIPD permettra ensuite de décliner les aspects à mettre en œuvre, qu’il s’agisse de la tenue du registre des traitements, de l’information des personnes concernées et de la gestion des droits de ces dernières.
De la même manière, alors que l’AFA a publié un guide pratique7 sur la prévention des conflits d’intérêts dans l’entreprise en novembre 2021 et préconise dans certains cas la tenue d’un registre, la prévention de ces derniers conflits doit aussi aboutir à prendre en compte les mêmes logiques, afin de garantir notamment le respect du principe de minimisation des données et de veiller à la confidentialité de ces mêmes données (en limitant les droits d’accès et en documentant ces matrices d’habilitations).
Quels points d’attention ?
La montée en puissance du droit de la protection des données à caractère personnel se manifeste sous de nombreux aspects et notamment à travers le niveau des sanctions financières rendues par la CNIL et au vu des mises en demeure prononcées. Il doit aussi être noté qu’une large majorité de sanctions ont été prononcées pour des défauts de sécurité des données8, ce qui souligne la nécessité de mettre en place les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque au sens de l’article 32 du RGPD9.
Ces mesures sont indissociables d’une gouvernance effective, en association le cas échant avec le délégué à la protection des données. Dans le cadre d’enquêtes internes par exemple, cela implique la prise en compte des référentiels ou des guides de la CNIL10 et de les adapter au cas par cas, en fonction des risques identifiés.
Par ailleurs, l’absence de prise en compte de la législation et de la réglementation applicable en matière de protection des données personnelles peut aussi aboutir dans certains cas à la remise en cause de certains modes de preuves ou de recueils de données personnelles. C’est le cas par exemple lorsque l’utilisation de certaines données pourrait constituer un détournement de finalité, que les conditions de recueil des données collectées ne seraient pas conformes au principe de minimisation ou que des données utilisées dans le cadre d’une enquête auraient dû être effacées, conformément aux référentiels de durées de conservations applicables. Le recueil de données présentées comme anonymisées peut aussi donner lieu à des discussions importantes en pratique, avec le risque de requalification des données concernées en données personnelles.
Il doit enfin être souligné que certains aspects spécifiques du droit de la protection des données à caractère personnel font désormais l’objet d’enjeux spécifiques en matière de compliance : c’est le cas par exemple dans le cadre de la réflexion sur la nécessité ou non de renforcer la confidentialité de l’identité du lanceur d’alerte, ce qui témoigne là encore de la nécessité d’intégrer largement ces questions aux programmes de compliance.
1. www.cnil.fr/sites/default/files/atoms/files/referentiel-alertes-pro.pdf.
2. www.cnil.fr/fr/les-bases-legales/interet-legitime.
3. curia.europa.eu/juris/document/document.jsf ;jsessionid=704411CA08F40039EA616E1543955967 .
4. eur-lex.europa.eu/legal-content/FR/TXT/HTML/ .
6. www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf.
8. www.cnil.fr/fr/bilan-sanctions-mises-en-demeure-2021.
9. Voir par exemple à ce sujet, la délibération de la CNIL du 14 juin 2021 : Délibération SAN-2021-008 du 14 juin 2021 - Légifrance (legifrance.gouv.fr).
10. www.cnil.fr/sites/default/files/atoms/files/cnil_guide_securite_personnelle.pdf.
