La CNIL a précisé les conditions d’application de l’autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004) dans une délibération publiée au JO n°0199 du 26 août 2017
Déclaration des dispositifs d’alerte à la CNIL : https://www.cnil.fr/fr/declaration/au-004-dispositif-dalertes-professionnelles
La CNIL, dans l’attente d’une adaptation du dispositif d’alerte aux dispositions du RGPD entré en vigueur le 25 mai 2018 a maintenu son ancien référentiel :
« Suite à l’entrée en application du RGPD, les autorisations uniques adoptées par la CNIL n’ont plus de valeur juridique à compter du 25 mai 2018. Dans l’attente de la production de référentiels RGPD, la CNIL a décidé de les maintenir accessibles afin de permettre aux responsables de traitement d’orienter leurs premières actions de mise en conformité.«
Le traitement des données est limité à :
- L’identité, les fonctions et coordonnées de l’émetteur de l’alerte professionnelle.
- L’identité, les fonctions et coordonnées des personnes faisant l’objet d’une alerte.
- L’identité, les fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l’alerte.
- Les faits signalés.
- Les éléments recueillis dans le cadre de la vérification des faits signalés.
- Le compte-rendu des opérations de vérification.
- Les suites données à l’alerte.
Les données la concernant doivent immédiatement être supprimées ou archivées après anonymisation.
Durée de conservation des données :
- Lorsque l’alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, les données relatives à cette alerte sont détruites ou archivées par l’organisation chargée de la gestion des alertes dans un délai de deux mois à compter de la clôture des opérations de vérification.
- Lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, les données relatives à l’alerte sont conservées par l’organisation chargée de la gestion des alertes jusqu’au terme de la procédure.
- Les données faisant l’objet de mesures d’archivage sont conservées, dans le cadre d’un système d’information distinct à accès restreint, pour une durée n’excédant pas les délais de procédures contentieuses.
« Il m’a fallu prendre la mesure de cette surveillance de généralisée et des dégâts qu’elle causait pour me rendre compte que nous n’avions hélas jamais eu l’occasion, nous, le public – pas seulement les Américains mais les gens du monde entier-, de voter ni même de donner notre avis sur ce qui se tramait. Non seulement cette surveillance quasi universelle avait été mise en place sans nous demander notre avis, mais on nous avait délibérément caché les divers aspects de ces programmes. (…) J’adore mon pays, et je crois au service public, (…) j’ai moi-même pris l’engagement de me mettre à la disposition non pas d’une agence ni même d’un gouvernement, mais de l’intérêt commun, afin de défendre notre Constitution, celle qui protège nos libertés civiques et que l’on piétine sans vergogne » Edward Snowden, Mémoires vives, 2019.
En dépit du RGPD, l’accès des particuliers aux données personnelles est toujours impossible, et les différents services de l’État, CNIL et Ministère de l’intérieur, quand ils répondent, se renvoient courageusement leur compétence l’un l’autre.
Sur ce sujet, retrouvez l’article de Pierre Farge :