La délibération de la Cnil publiée au JO

La Cnil a publié au Journal officiel, le 4 janvier dernier, sa délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d'alerte professionnelle. Ces dernières sont utilisées pour permettre aux salariés de « signaler à leur employeur des comportements qu'ils estiment contraires aux règles applicables ». En la matière : ces comportements sont limités au domaine financier, comptable, bancaire et à la lutte contre la corruption. Autre obligation donnée par la Cnil : l'émetteur de l'alerte doit s'identifier, mais son identité est traitée de façon confidentielle.

Pour ce qui concerne les données à caractère personnel enregistrées, seules peuvent être traitées l'identité, les fonctions et les coordonnées de l'émetteur, de la personne faisant l'objet de l'alerte et celles intervenant dans le recueil ou le traitement de celle-ci ; les faits signalés ; le compte rendu des opérations de vérification et les suites données à l'alerte. Par ailleurs, la Cnil demande que les destinataires de ces données soient limités. Quant à leur conservation, la Cnil recommande qu'elles soient détruites dans un délai de deux mois à compter de la clôture des opérations de vérification lorsque l'alerte n'est pas suivie d'une procédure disciplinaire ou judiciaire.

Il est également exigé que soit réalisée une communication claire et complète des utilisateurs potentiels.