La CNIL (Commission nationale de l’informatique et des libertés) vient de mettre en ligne une FAQ qui explicite en 20 questions-réponses son autorisation unique du 8 décembre 2005.
Elle rappelle notamment (question-réponse n° 10) quel doit être le champ du dispositif d’alerte :
« Le champ du dispositif d’alerte est défini par l’employeur, dans le respect de l’article 1er de l’autorisation unique du 8 décembre 2005. En conséquence, seuls des faits se rapportant à des risques sérieux pour l’entreprise dans les domaines comptable, d’audit financier, de lutte contre la corruption ou bancaire peuvent être recueillis et enregistrés par l’organisation chargée de la gestion des alertes. Exemples : dysfonctionnements comptables et de contrôle des comptes, fraude fiscale, financement du terrorisme, blanchiment d’argent, corruption d’agents publics, emploi fictif de personnels, délit d’initié, conflit d’intérêts...
L’article 3 de l’autorisation unique permet également la prise en compte, dans le dispositif d’alerte, de faits ne relevant pas du champ du dispositif compte tenu de leur particulière gravité. Celle-ci est appréciée au cas par cas par l’organisation chargée de la gestion des alertes. Au sens de l’autorisation unique, sont considérés comme graves les faits mettant en jeu l’intérêt vital de l’entreprise ou l’intégrité physique ou morale de ses employés. Exemples : mise en danger d’un autre employé, harcèlement moral, harcèlement sexuel, discriminations, atteinte grave à l’environnement ou à la santé publique, divulgation d’un secret de fabrique, risque grave pour la sécurité informatique de l’entreprise...
Elle précise (question-réponse n° 11) les modalités de traitement d’une alerte qui ne rentre pas dans le champ du dispositif :
« L’article 3 de l’autorisation unique permet l’enregistrement de faits graves, même s’ils ne relèvent pas du champ du dispositif d’alerte (cf. « Quel doit être le champ du dispositif d’alerte ? »). Dans ce cas, l’alerte peut être recueillie et éventuellement réorientée vers les personnes compétentes au sein de l’entreprise concernée. Suite à cette transmission, l’organisation chargée du traitement des alertes détruit ou archive sans délai les données relatives à cette alerte.
Pour les autres cas (alertes hors champ du dispositif et analysées comme ne présentant pas de gravité particulière), l’émetteur de l’alerte peut seulement être informé et orienté vers le service compétent à contacter. Les données relatives à de telles alertes sont détruites ou archivées sans délai.
En définitive, la décision du 8 décembre 2005 permet la prise en compte de chaque alerte reçue, selon des modalités correspondant à son degré de gravité. »
|