Délibération n° 09-14 du 23 novembre 2009 portant recommandation sur les dispositifs d’alerte professionnelle
Vu la Constitution ;
Vu la Convention de sauvegarde des droits de l’homme et des libertés fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la Recommandation du Conseil de l’Europe n° R (89) 2 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu le Code civil ;
Vu le Code pénal ;
Vu la loi n° 729 du 16 mars 1963 concernant le contrat de travail ;
La Commission de Contrôle des Informations Nominatives,
Conformément à l’article 1er alinéa 1 de la loi n° 1.165 du 23 décembre 1993, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, autorité administrative indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Par la présente recommandation, la Commission estime opportun de préciser les grands principes de protection des informations nominatives applicables aux dispositifs d’alerte professionnelle (Whistleblowing) afin d’orienter les demandeurs d’autorisation dans leur démarche auprès d’elle.
1) Dispositions générales
Les dispositifs d’alerte professionnelle permettent à des personnes physiques salariées de signaler un comportement interne ou en lien avec l’activité de leur employeur contraire, selon eux, à une législation, une réglementation ou aux règles internes établies par l’organisme au sein duquel elles travaillent.
Le fonctionnement de ces dispositifs d’alerte sont variables selon les organismes : une alerte peut être déclenchée par un appel téléphonique traité au sein de l’organisme ou hors de celui-ci par le biais d’un organisme prestataire de type centre d’appel, par un courrier électronique traité de la même manière, par un courrier postal (…). Il s’ensuit une collecte d’informations nominatives, tant sur la personne ayant donnée l’alerte que sur celle(s) visée(s) par une alerte, afin de permettre au destinataire de la communication ou aux entités en charge du traitement de ces alertes au sein de l’organisme d’effectuer les vérifications nécessaires, et, le cas échéant, à prendre les mesures permettant de faire cesser le comportement dommageable.
Or, la mise en place de tels systèmes comprend un certain nombre de dangers et notamment :
- le risque de mise en place d’un système organisé de délation professionnelle notamment du fait de l’anonymat de la personne dénonciatrice ;
- la disproportion entre les dispositifs et les objectifs poursuivis ;
- la déloyauté de la collecte et du traitement des données pour la personne n’ayant pas les moyens de s’opposer et de se défendre.
Face à ces dangers, et en l’absence de dispositions légales ou réglementaires encadrant ce genre de traitement automatisé d’informations nominatives, la Commission estime nécessaire de retenir les principes fondamentaux ci-après exposés, afin de s’assurer de la conformité des dispositifs d’alerte professionnelle avec les dispositions de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives.
2) La légitimité des dispositifs d’alerte professionnelle
La Commission considère que les traitements automatisés d’informations nominatives relatifs aux dispositifs d’alertes professionnelles peuvent être considérés comme légitimes lorsque ceux-ci sont mis en œuvre aux seules fins :
- de répondre à une obligation législative ou réglementaire de droit monégasque visant à l’établissement de procédure de contrôle interne dans les domaines financiers, comptable, bancaire et de la lutte contre la corruption ;
- ou, de permettre la réalisation d’un intérêt légitime poursuivi par le responsable de traitement ou son représentant ou par le destinataire des informations, à la condition de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. Conformément à l’article 10-2 chiffre 5 de la loi n° 1.165, susvisée, entrent également dans le champ de la présente délibération les traitements mis en œuvre dans les domaines :
• comptable et d’audit par les entreprises concernées par la section 301(4) de la loi américaine dite «Sarbanes-Oxley» de juillet 2002 ;
• et de lutte contre les comportements et pratiques anticoncurrentiels.
3) Le traitement de l’identité de l’émetteur de l’alerte
Face aux risques de dénonciations calomnieuses, la Commission estime que l’émetteur de l’alerte professionnelle doit s’identifier. Son identité doit être traitée de façon confidentielle par l’organisation chargée de la gestion des alertes.
Par dérogation au principe ci-avant exposé, la Commission considère que, l’alerte d’une personne qui souhaite rester anonyme peut être recueillie aux conditions cumulatives suivantes :
- le traitement de cette alerte doit s’entourer de précautions particulières, telles qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif ;
- l’organisme n’incite pas les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l’existence du dispositif en tient compte. Au contraire, la procédure est conçue de façon à ce que les employés s’identifient auprès de l’organisation chargée de la gestion des alertes.
4) Les catégories d’informations à caractère personnel enregistrées
Conformément au principe de qualité des informations nominatives, la Commission estime que seules les catégories d’informations suivantes peuvent être traitées :
- identité, fonctions et coordonnées de l’émetteur de l’alerte professionnelle ;
- identité, fonctions et coordonnées des personnes faisant l’objet d’une alerte ;
- identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l’alerte ;
- faits signalés ;
- éléments recueillis dans le cadre de la vérification des faits signalés ;
- compte rendu des opérations de vérification ;
- suites données à l’alerte.
La Commission rappelle par ailleurs que, les faits recueillis doivent être strictement limités aux domaines concernés par le dispositif d’alerte.
Elle souligne que la prise en compte de l’alerte professionnelle ne doit s’appuyer que sur des données formulées de manière objective, en rapport direct avec le champ du dispositif d’alerte et strictement nécessaires à la vérification des faits allégués. Ainsi, les formulations utilisées pour décrire la nature des faits signalés doivent impérativement faire apparaître leur caractère présumé.
Elle accepte néanmoins que, des faits qui ne se rapportent pas à ces domaines soient communiqués aux personnes compétentes de l’organisme concerné lorsque l’intérêt vital de cet organisme ou l’intégrité physique ou morale de ses employés est en jeu. Sont ainsi visés par le champ de cette dérogation, les alertes portant notamment sur la mise en danger d’un employé, le harcèlement moral, le harcèlement sexuel, les atteintes graves à l’environnement ou à la santé publique, des risques graves pour la sécurité informatique de l’entreprise, (…).
5) Les personnes ayant accès aux informations et les destinataires
Afin de garantir la confidentialité des informations collectées et au regard notamment du principe de proportionnalité, la Commission considère que les personnes ayant accès aux informations sont celles spécialement chargées, au sein de l’organisme concerné, du recueil ou du traitement des alertes professionnelles. Elles ne peuvent recevoir communication de tout ou partie des informations visées au point 4 que dans la mesure où ces informations sont nécessaires à l’accomplissement de leurs missions.
Ces informations peuvent être communiquées aux personnes spécialement chargées de la gestion des alertes professionnelles au sein du groupe de sociétés auquel appartient l’organisme concerné si cette communication est nécessaire à la vérification de l’alerte ou résulte de l’organisation du groupe.
En outre, la Commission estime que, s’il est fait recours à un prestataire de service pour recueillir ou traiter les alertes, les personnes spécialement chargées de ces missions au sein de l’organisme prestataire de service n’accèdent à tout ou partie des données visées au point 4 que dans la limite de leurs attributions respectives.
Elle demande à ce que le prestataire de service éventuellement désigné pour gérer tout ou partie de ce dispositif s’engage notamment, par voie contractuelle, à :
- ne pas utiliser les informations à des fins détournées ;
- assurer leur confidentialité ;
- respecter la durée de conservation limitée des données et à procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés d’informations à caractère personnel au terme de sa prestation.
De plus, la Commission souligne que dans tous les cas, les personnes chargées du recueil et du traitement des alertes professionnelles devront être en nombre limité, spécialement formées et astreintes à une obligation renforcée de confidentialité contractuellement définie.
Enfin, eu égard aux caractères sensibles de ce traitement d’information, la Commission estime que seules les autorités judiciaires en matière pénale peuvent être destinataires des informations.
6) Transferts de données à caractère personnel hors pays disposant d’un niveau de protection adéquate
La Commission rappelle que dans les cas où les communications d’informations envisagées au point 5 concernent un transfert d’informations nominatives vers une personne morale établie dans un pays ne disposant pas d’un niveau de protection adéquate au sens de l’article 20 de la loi n° 1.165 du 23 décembre 1993, modifiée, ces communications d’informations à caractère personnel devront s’opérer conformément aux dispositions spécifiques de la loi dont s’agit, relatives aux transferts internationaux d’information, et notamment de son article 20-1 alinéa 2.
Elle estime qu’il est satisfait à ces dispositions lorsque :
- la personne morale au sein de laquelle travaille le destinataire des données a adhéré au Safe Harbor, dans la mesure où la société américaine concernée a expressément fait le choix d’inclure les données de ressources humaines dans le champ de cette adhésion ;
- ou que le destinataire a conclu un contrat de transfert fondé sur les clauses contractuelles types émises par la Commission européenne dans ses décisions du 15 juin 2001 ou du 27 décembre 2004 ;
- ou lorsque le groupe auquel appartiennent les entités concernées ont adopté des règles internes contraignantes dont la Commission de Contrôle des Informations Nominatives a préalablement reconnu qu’elles garantissent un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.
7) Durée de conservation
La Commission considère que :
- les informations relatives à une alerte considérée, dès son recueil par le responsable du traitement, qui n’entrent pas dans le champ du dispositif sont détruites ou archivées sans délai, sous réserve de l’exception prévue au paragraphe 4 de la présente délibération.
- les informations relatives à une alerte ayant fait l’objet d’une vérification sont détruites ou archivées par l’organisation chargée de la gestion des alertes dans un délai de deux mois à compter de la clôture des opérations de vérification lorsque l’alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire. Lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, les informations relatives à l’alerte sont conservées par l’organisation chargée de la gestion des alertes jusqu’au terme de la procédure. Les données faisant l’objet de mesures d’archivage sont conservées, dans le cadre d’un système d’information distinct à accès restreint, pour une durée n’excédant pas les délais des procédures contentieuses.
8) Mesures de sécurité
La Commission demande que le responsable de traitement prenne toutes précautions utiles pour préserver la sécurité des données tant à l’occasion de leur recueil que de leur communication ou de leur conservation. A ce titre, elle exige notamment que les accès aux traitements de données s’effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification. Ces accès doivent être enregistrés et leur régularité doit être contrôlée.
La Commission appelle l’attention sur le fait que l’identité de l’émetteur d’une alerte doit être traitée de façon confidentielle afin que celui-ci ne subisse aucun préjudice du fait de sa démarche.
9) L’information des personnes concernées
Information de l’utilisateur potentiel du dispositif
Nonobstant l’information collective prévue par des conventions collectives professionnelles, la Commission demande que l’utilisateur potentiel du dispositif soit clairement et individuellement informé, conformément à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée :
- de l’identité du responsable du dispositif et le cas échéant de celle de son représentant à Monaco,
- de la finalité du traitement,
- du caractère facultatif du dispositif,
- de l’absence de conséquence à l’égard des employés de la non-utilisation de ce dispositif,
- de l’identité des destinataires ou des catégories de destinataire des alertes,
- de l’existence d’un droit d’accès et de rectification relativement aux informations les concernant.
En outre, la Commission souhaite que l’utilisateur du dispositif soit également informé, que l’utilisation abusive du dispositif peut l’exposer à des sanctions disciplinaires ainsi qu’à des poursuites judiciaires mais qu’à l’inverse, l’utilisation de bonne foi du dispositif, même si les faits s’avèrent par la suite inexacts ou ne donnent lieu à aucune suite, ne l’exposera à aucune sanction disciplinaire.
Information de la personne faisant l’objet d’une alerte professionnelle
La Commission demande que la personne qui fait l’objet d’une alerte soit, conformément à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, informée par le responsable du dispositif dès l’enregistrement, informatisé ou non, de données la concernant, afin de lui permettre de s’opposer pour des raisons légitimes au traitement de celles-ci.
Lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves relatives à l’alerte, l’information de cette personne intervient après l’adoption de ces mesures. Cette information, qui est réalisée selon des modalités permettant de s’assurer de sa bonne délivrance à la personne concernée, précise notamment l’entité responsable du dispositif, les faits qui sont reprochés, les services éventuellement destinataires de l’alerte ainsi que les modalités d’exercice de ses droits d’accès et de rectification.
10) Respect des droits d’accès et de rectification
Conformément aux articles 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée, la Commission rappelle que le responsable du dispositif d’alerte doit garantir à toute personne identifiée dans le dispositif d’alerte professionnelle le droit d’accéder aux données la concernant et d’en demander, si elles sont inexactes, incomplètes, équivoques ou périmées, la rectification ou la suppression. Elle souligne également que la personne qui fait l’objet d’une alerte ne peut en aucun cas obtenir communication du responsable du traitement, sur le fondement de son droit d’accès, des informations concernant l’identité de l’émetteur de l’alerte.
Après en avoir délibéré,
Rappelle que les dispositifs d’alerte professionnelle sont des traitements automatisés d’informations nominatives soumis à l’autorisation de la Commission de Contrôle des Informations Nominatives, et, que seuls les traitements remplissant les conditions fixées par la présente recommandation feront l’objet d’une autorisation de mise en œuvre.
Le Président de la Commission
de Contrôle des Informations Nominatives.
Vu la Convention de sauvegarde des droits de l’homme et des libertés fondamentales du Conseil de l’Europe ;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la Recommandation du Conseil de l’Europe n° R (89) 2 sur la protection des données à caractère personnel utilisées à des fins d’emploi ;
Vu la loi n° 1.165 du 23 décembre 1993, modifiée, relative à la protection des informations nominatives ;
Vu l’ordonnance souveraine n° 2.230 du 19 juin 2009 fixant les modalités d’application de la loi n° 1.165 du 23 décembre 1993, susvisée ;
Vu le Code civil ;
Vu le Code pénal ;
Vu la loi n° 729 du 16 mars 1963 concernant le contrat de travail ;
La Commission de Contrôle des Informations Nominatives,
Conformément à l’article 1er alinéa 1 de la loi n° 1.165 du 23 décembre 1993, les traitements automatisés ou non automatisés d’informations nominatives ne doivent pas porter atteinte aux libertés et droits fondamentaux consacrés par le titre III de la Constitution.
La Commission de Contrôle des Informations Nominatives, autorité administrative indépendante, a pour mission de veiller au respect de ces dispositions. A ce titre, elle est notamment habilitée à formuler toutes recommandations entrant dans le cadre des missions qui lui sont conférées par la loi.
Par la présente recommandation, la Commission estime opportun de préciser les grands principes de protection des informations nominatives applicables aux dispositifs d’alerte professionnelle (Whistleblowing) afin d’orienter les demandeurs d’autorisation dans leur démarche auprès d’elle.
1) Dispositions générales
Les dispositifs d’alerte professionnelle permettent à des personnes physiques salariées de signaler un comportement interne ou en lien avec l’activité de leur employeur contraire, selon eux, à une législation, une réglementation ou aux règles internes établies par l’organisme au sein duquel elles travaillent.
Le fonctionnement de ces dispositifs d’alerte sont variables selon les organismes : une alerte peut être déclenchée par un appel téléphonique traité au sein de l’organisme ou hors de celui-ci par le biais d’un organisme prestataire de type centre d’appel, par un courrier électronique traité de la même manière, par un courrier postal (…). Il s’ensuit une collecte d’informations nominatives, tant sur la personne ayant donnée l’alerte que sur celle(s) visée(s) par une alerte, afin de permettre au destinataire de la communication ou aux entités en charge du traitement de ces alertes au sein de l’organisme d’effectuer les vérifications nécessaires, et, le cas échéant, à prendre les mesures permettant de faire cesser le comportement dommageable.
Or, la mise en place de tels systèmes comprend un certain nombre de dangers et notamment :
- le risque de mise en place d’un système organisé de délation professionnelle notamment du fait de l’anonymat de la personne dénonciatrice ;
- la disproportion entre les dispositifs et les objectifs poursuivis ;
- la déloyauté de la collecte et du traitement des données pour la personne n’ayant pas les moyens de s’opposer et de se défendre.
Face à ces dangers, et en l’absence de dispositions légales ou réglementaires encadrant ce genre de traitement automatisé d’informations nominatives, la Commission estime nécessaire de retenir les principes fondamentaux ci-après exposés, afin de s’assurer de la conformité des dispositifs d’alerte professionnelle avec les dispositions de la loi n° 1.165 du 23 décembre 1993 relative à la protection des informations nominatives.
2) La légitimité des dispositifs d’alerte professionnelle
La Commission considère que les traitements automatisés d’informations nominatives relatifs aux dispositifs d’alertes professionnelles peuvent être considérés comme légitimes lorsque ceux-ci sont mis en œuvre aux seules fins :
- de répondre à une obligation législative ou réglementaire de droit monégasque visant à l’établissement de procédure de contrôle interne dans les domaines financiers, comptable, bancaire et de la lutte contre la corruption ;
- ou, de permettre la réalisation d’un intérêt légitime poursuivi par le responsable de traitement ou son représentant ou par le destinataire des informations, à la condition de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée. Conformément à l’article 10-2 chiffre 5 de la loi n° 1.165, susvisée, entrent également dans le champ de la présente délibération les traitements mis en œuvre dans les domaines :
• comptable et d’audit par les entreprises concernées par la section 301(4) de la loi américaine dite «Sarbanes-Oxley» de juillet 2002 ;
• et de lutte contre les comportements et pratiques anticoncurrentiels.
3) Le traitement de l’identité de l’émetteur de l’alerte
Face aux risques de dénonciations calomnieuses, la Commission estime que l’émetteur de l’alerte professionnelle doit s’identifier. Son identité doit être traitée de façon confidentielle par l’organisation chargée de la gestion des alertes.
Par dérogation au principe ci-avant exposé, la Commission considère que, l’alerte d’une personne qui souhaite rester anonyme peut être recueillie aux conditions cumulatives suivantes :
- le traitement de cette alerte doit s’entourer de précautions particulières, telles qu’un examen préalable, par son premier destinataire, de l’opportunité de sa diffusion dans le cadre du dispositif ;
- l’organisme n’incite pas les personnes ayant vocation à utiliser le dispositif à le faire de manière anonyme et la publicité faite sur l’existence du dispositif en tient compte. Au contraire, la procédure est conçue de façon à ce que les employés s’identifient auprès de l’organisation chargée de la gestion des alertes.
4) Les catégories d’informations à caractère personnel enregistrées
Conformément au principe de qualité des informations nominatives, la Commission estime que seules les catégories d’informations suivantes peuvent être traitées :
- identité, fonctions et coordonnées de l’émetteur de l’alerte professionnelle ;
- identité, fonctions et coordonnées des personnes faisant l’objet d’une alerte ;
- identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l’alerte ;
- faits signalés ;
- éléments recueillis dans le cadre de la vérification des faits signalés ;
- compte rendu des opérations de vérification ;
- suites données à l’alerte.
La Commission rappelle par ailleurs que, les faits recueillis doivent être strictement limités aux domaines concernés par le dispositif d’alerte.
Elle souligne que la prise en compte de l’alerte professionnelle ne doit s’appuyer que sur des données formulées de manière objective, en rapport direct avec le champ du dispositif d’alerte et strictement nécessaires à la vérification des faits allégués. Ainsi, les formulations utilisées pour décrire la nature des faits signalés doivent impérativement faire apparaître leur caractère présumé.
Elle accepte néanmoins que, des faits qui ne se rapportent pas à ces domaines soient communiqués aux personnes compétentes de l’organisme concerné lorsque l’intérêt vital de cet organisme ou l’intégrité physique ou morale de ses employés est en jeu. Sont ainsi visés par le champ de cette dérogation, les alertes portant notamment sur la mise en danger d’un employé, le harcèlement moral, le harcèlement sexuel, les atteintes graves à l’environnement ou à la santé publique, des risques graves pour la sécurité informatique de l’entreprise, (…).
5) Les personnes ayant accès aux informations et les destinataires
Afin de garantir la confidentialité des informations collectées et au regard notamment du principe de proportionnalité, la Commission considère que les personnes ayant accès aux informations sont celles spécialement chargées, au sein de l’organisme concerné, du recueil ou du traitement des alertes professionnelles. Elles ne peuvent recevoir communication de tout ou partie des informations visées au point 4 que dans la mesure où ces informations sont nécessaires à l’accomplissement de leurs missions.
Ces informations peuvent être communiquées aux personnes spécialement chargées de la gestion des alertes professionnelles au sein du groupe de sociétés auquel appartient l’organisme concerné si cette communication est nécessaire à la vérification de l’alerte ou résulte de l’organisation du groupe.
En outre, la Commission estime que, s’il est fait recours à un prestataire de service pour recueillir ou traiter les alertes, les personnes spécialement chargées de ces missions au sein de l’organisme prestataire de service n’accèdent à tout ou partie des données visées au point 4 que dans la limite de leurs attributions respectives.
Elle demande à ce que le prestataire de service éventuellement désigné pour gérer tout ou partie de ce dispositif s’engage notamment, par voie contractuelle, à :
- ne pas utiliser les informations à des fins détournées ;
- assurer leur confidentialité ;
- respecter la durée de conservation limitée des données et à procéder à la destruction ou à la restitution de tous les supports manuels ou informatisés d’informations à caractère personnel au terme de sa prestation.
De plus, la Commission souligne que dans tous les cas, les personnes chargées du recueil et du traitement des alertes professionnelles devront être en nombre limité, spécialement formées et astreintes à une obligation renforcée de confidentialité contractuellement définie.
Enfin, eu égard aux caractères sensibles de ce traitement d’information, la Commission estime que seules les autorités judiciaires en matière pénale peuvent être destinataires des informations.
6) Transferts de données à caractère personnel hors pays disposant d’un niveau de protection adéquate
La Commission rappelle que dans les cas où les communications d’informations envisagées au point 5 concernent un transfert d’informations nominatives vers une personne morale établie dans un pays ne disposant pas d’un niveau de protection adéquate au sens de l’article 20 de la loi n° 1.165 du 23 décembre 1993, modifiée, ces communications d’informations à caractère personnel devront s’opérer conformément aux dispositions spécifiques de la loi dont s’agit, relatives aux transferts internationaux d’information, et notamment de son article 20-1 alinéa 2.
Elle estime qu’il est satisfait à ces dispositions lorsque :
- la personne morale au sein de laquelle travaille le destinataire des données a adhéré au Safe Harbor, dans la mesure où la société américaine concernée a expressément fait le choix d’inclure les données de ressources humaines dans le champ de cette adhésion ;
- ou que le destinataire a conclu un contrat de transfert fondé sur les clauses contractuelles types émises par la Commission européenne dans ses décisions du 15 juin 2001 ou du 27 décembre 2004 ;
- ou lorsque le groupe auquel appartiennent les entités concernées ont adopté des règles internes contraignantes dont la Commission de Contrôle des Informations Nominatives a préalablement reconnu qu’elles garantissent un niveau de protection suffisant de la vie privée et des droits fondamentaux des personnes.
7) Durée de conservation
La Commission considère que :
- les informations relatives à une alerte considérée, dès son recueil par le responsable du traitement, qui n’entrent pas dans le champ du dispositif sont détruites ou archivées sans délai, sous réserve de l’exception prévue au paragraphe 4 de la présente délibération.
- les informations relatives à une alerte ayant fait l’objet d’une vérification sont détruites ou archivées par l’organisation chargée de la gestion des alertes dans un délai de deux mois à compter de la clôture des opérations de vérification lorsque l’alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire. Lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, les informations relatives à l’alerte sont conservées par l’organisation chargée de la gestion des alertes jusqu’au terme de la procédure. Les données faisant l’objet de mesures d’archivage sont conservées, dans le cadre d’un système d’information distinct à accès restreint, pour une durée n’excédant pas les délais des procédures contentieuses.
8) Mesures de sécurité
La Commission demande que le responsable de traitement prenne toutes précautions utiles pour préserver la sécurité des données tant à l’occasion de leur recueil que de leur communication ou de leur conservation. A ce titre, elle exige notamment que les accès aux traitements de données s’effectuent par un identifiant et un mot de passe individuels, régulièrement renouvelés, ou par tout autre moyen d’authentification. Ces accès doivent être enregistrés et leur régularité doit être contrôlée.
La Commission appelle l’attention sur le fait que l’identité de l’émetteur d’une alerte doit être traitée de façon confidentielle afin que celui-ci ne subisse aucun préjudice du fait de sa démarche.
9) L’information des personnes concernées
Information de l’utilisateur potentiel du dispositif
Nonobstant l’information collective prévue par des conventions collectives professionnelles, la Commission demande que l’utilisateur potentiel du dispositif soit clairement et individuellement informé, conformément à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée :
- de l’identité du responsable du dispositif et le cas échéant de celle de son représentant à Monaco,
- de la finalité du traitement,
- du caractère facultatif du dispositif,
- de l’absence de conséquence à l’égard des employés de la non-utilisation de ce dispositif,
- de l’identité des destinataires ou des catégories de destinataire des alertes,
- de l’existence d’un droit d’accès et de rectification relativement aux informations les concernant.
En outre, la Commission souhaite que l’utilisateur du dispositif soit également informé, que l’utilisation abusive du dispositif peut l’exposer à des sanctions disciplinaires ainsi qu’à des poursuites judiciaires mais qu’à l’inverse, l’utilisation de bonne foi du dispositif, même si les faits s’avèrent par la suite inexacts ou ne donnent lieu à aucune suite, ne l’exposera à aucune sanction disciplinaire.
Information de la personne faisant l’objet d’une alerte professionnelle
La Commission demande que la personne qui fait l’objet d’une alerte soit, conformément à l’article 14 de la loi n° 1.165 du 23 décembre 1993, modifiée, informée par le responsable du dispositif dès l’enregistrement, informatisé ou non, de données la concernant, afin de lui permettre de s’opposer pour des raisons légitimes au traitement de celles-ci.
Lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves relatives à l’alerte, l’information de cette personne intervient après l’adoption de ces mesures. Cette information, qui est réalisée selon des modalités permettant de s’assurer de sa bonne délivrance à la personne concernée, précise notamment l’entité responsable du dispositif, les faits qui sont reprochés, les services éventuellement destinataires de l’alerte ainsi que les modalités d’exercice de ses droits d’accès et de rectification.
10) Respect des droits d’accès et de rectification
Conformément aux articles 15 et 16 de la loi n° 1.165 du 23 décembre 1993, modifiée, la Commission rappelle que le responsable du dispositif d’alerte doit garantir à toute personne identifiée dans le dispositif d’alerte professionnelle le droit d’accéder aux données la concernant et d’en demander, si elles sont inexactes, incomplètes, équivoques ou périmées, la rectification ou la suppression. Elle souligne également que la personne qui fait l’objet d’une alerte ne peut en aucun cas obtenir communication du responsable du traitement, sur le fondement de son droit d’accès, des informations concernant l’identité de l’émetteur de l’alerte.
Après en avoir délibéré,
Rappelle que les dispositifs d’alerte professionnelle sont des traitements automatisés d’informations nominatives soumis à l’autorisation de la Commission de Contrôle des Informations Nominatives, et, que seuls les traitements remplissant les conditions fixées par la présente recommandation feront l’objet d’une autorisation de mise en œuvre.
Le Président de la Commission
de Contrôle des Informations Nominatives.