[...] sécurité des systèmes informatiques; -la violation des règles sur le contrôle des importations ou exportations; -la violation des lois relatives à la lutte contre le blanchiment d'argent ou le financement du terrorisme [...]
(Demande d’autorisation n° 1634064)
La Commission nationale de l'informatique et des libertés,
Saisie par GENERAL ELECTRIC d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en place d’un dispositif d’alerte professionnelle;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 6-3°, 7-5°, 25-I-4° et 35 ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération de la CNIL n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, telle que modifiée le 14 octobre 2010 ;
Vu le dossier et ses compléments ;
Sur la proposition de Monsieur Emmanuel de GIVRY, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
A titre liminaire, la Commission rappelle qu’elle a adopté, le 8 décembre 2005, une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004).
Elle observe que le traitement objet de la présente délibération ne répond pas aux conditions prévues par cette autorisation unique, notamment s’agissant du fondement juridique et du champ d’application du dispositif.
La Commission doit, par conséquent, procéder à une analyse spécifique du traitement, au regard des principes relatifs à la protection des données à caractère personnel et, notamment, de l’article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.
|
Responsable du traitement |
La Commission est saisie par GENERAL ELECTRIC. |
|
Sur la finalité |
Le traitement dont est saisie la Commission a pour finalité la mise en œuvre d’un dispositif d’alerte professionnelle dédié au traitement des alertes des collaborateurs du groupe GENERAL ELECTRIC portant sur des manquements graves dans les domaines suivants : -la violation de règles financières, comptables ou bancaires ; -la violation de règles relatives à la corruption ainsi que des situations de conflits d’intérêts tels que définis dans le code éthique et de bonne conduite de General Electric international INC ; -les violations des lois sur la concurrence ; -la violation des règles sur l’environnement tels que des actes de pollution directe ou indirecte ayant des conséquences importantes sur l’environnement, tels que décrits dans le code éthique et de bonne conduite de General Electric ; -la violation des règles relatives à l’hygiène et à la sécurité des salariés ; -les comportements discriminatoires et de harcèlement ; -la violation de règles interdisant le travail forcé et le travail des enfants; -la divulgation d'informations strictement confidentielles, ou les violations de règles sur la protection de la propriété intellectuelle; -la violation de règles sur la protection des données à caractère personnel ainsi que sur la sécurité des systèmes informatiques; -la violation des règles sur le contrôle des importations ou exportations; -la violation des lois relatives à la lutte contre le blanchiment d'argent ou le financement du terrorisme, ou contre les actes de terrorisme. La Commission considère que cette finalité est déterminée, explicite et légitime. Elle relève que la mise en œuvre de ce traitement vise à assurer le respect des chartes éthique du groupe. La Commission rappelle qu’un dispositif d’alerte professionnelle doit être limité dans son champ d’application et que son utilisation doit demeurer facultative et complémentaire par rapport aux autres voies légales de remontée de réclamations. La Commission estime qu’en l’espèce le dispositif d’alerte qui lui est présenté est limité dans son champ d’application et répond à l’intérêt légitime du responsable du traitement, conformément aux dispositions de l’article 7-5° de la loi du 6 janvier 1978 modifiée. S’agissant des modalités de signalement des alertes, la Commission prend acte que les collaborateurs de GENERAL ELECTRIC disposeront d’une adresse électronique dédiée. |
|
Sur les données traitées |
Les données collectées par l’intermédiaire du dispositif examiné par la Commission sont les suivantes :
La Commission rappelle que l’obligation de s’identifier à l’occasion de l’émission d’une alerte professionnelle permet de limiter les risques de mises en cause abusives ou disproportionnées. Elle relève que l’émetteur d’une alerte est invité à s’identifier lorsqu’il utilise le dispositif de GENERAL ELECTRIC et que son identité est traitée de façon confidentielle par les personnes chargées de la gestion de l’alerte. Les alertes anonymes seront admises à titre exceptionnel si, après une incitation à s’identifier et le rappel des précautions prises pour la protection de son identité, l’auteur d’une alerte maintient sa volonté de rester anonyme. La Commission prend ainsi acte que les alertes anonymes ne sont traitées qu’aux conditions prévues par l’article 8 de l’AU-004, à savoir :
|
|
Sur les destinataires |
Le destinataire de tout ou partie des données à caractère personnel du présent traitement est, dans la limite de ses attributions le déontologue. La Commission considère que ce destinataire présente un intérêt légitime à accéder aux données du présent traitement. Elle relève, par ailleurs, que l’intégralité des personnes impliquées dans le traitement d’une alerte est astreinte à une obligation de confidentialité. Les données font l'objet d'un transfert hors de l'Union Européenne vers General Electric Company, qui en tant que maison-mère a souscrit et est liée aux règles contraignantes d'entreprise (binding corporate rules) conclues entre les sociétés du Groupe GENERAL ELECTRIC. |
|
Sur l’information et le droit d’accès |
Les personnes concernées sont informées, conformément à l’article 32 de la loi du 6 janvier 1978 modifiée, par un courriel adressé par le déontologue à l’ensemble des collaborateurs de GENERAL ELECTRIC. Les personnes mises en cause par une alerte en sont informées dès l’enregistrement de données les concernant. Cette information peut toutefois être retardée le temps nécessaire à l’adoption de mesures conservatoires visant à préserver des preuves. Les droits d’accès et de rectification s’exercent directement auprès du déontologue du groupe. La Commission considère que ces modalités d’information et d’exercice des droits des personnes sont satisfaisantes. |
|
Sur les mesures de sécurité |
Des mesures de sécurité sont prises par le responsable de traitement afin de préserver la sécurité des données et, notamment, empêcher que des tiers non autorisés y aient accès. L’adresse électronique dédiée utilisée pour émettre une alerte ne sera accessible que par les personnes habilitées à traiter des signalements, lesquelles devront s’identifier avec des codes d’accès individuels. Conformément aux recommandations de la Commission, l’authentification des utilisateurs du traitement sera assurée par l’utilisation de mots de passe, renouvelés à intervalles réguliers, constitués d’au moins huit caractères et contenant une combinaison d’au moins trois types de caractères différents. Le traitement comporte, par ailleurs, une fonctionnalité de journalisation des opérations de consultation, de modification ou de création permettant d’identifier l’utilisateur à l’origine d’une opération. Enfin, les échanges de données et connexions à distance seront assurés par l’intermédiaire d’un réseau privé virtuel. Ces mesures de sécurité n’appellent pas d’observation de la Commission au regard de l’article 34 de la loi du 6 janvier 1978 modifiée. |
|
Sur les autres caractéristiques du traitement |
La Commission relève que les durées de conservation prévues par le responsable de traitement sont identiques à celles mentionnées à l’article 6 de l’AU-004, à savoir :
|
Autorise, conformément à la présente délibération, GENERAL ELECTRIC à mettre en œuvre le traitement susmentionné.
La Présidente
Isabelle FALQUE-PIERROTIN
