Actualités

Dispositifs d’alertes professionnelles : combien de temps conserver les données collectées ?

La loi Sapin 2 du 9 décembre 2016 a étendu le domaine des alertes professionnelles et les obligations des entreprises, imposant la mise en œuvre de dispositifs d’alertes notamment pour toutes les entreprises de plus de 50 salariés.

La conservation des données pose deux questions pratiques : combien de temps peut-on les conserver, d’une part, et peut-on se contenter de les archiver ou doit-on les détruire définitivement ?

Le décret du 19 avril 2017 pris en application des articles 6 à 8 de la loi Sapin 2 est très restrictif (article 3) : « la procédure précise les dispositions prises par l’organisme (..) pour détruire les éléments du dossier de signalement de nature à permettre l’identification de l’auteur du signalement et celle des personnes visées par celui-ci lorsqu’aucune suite n’y a été donnée, ainsi que le délai qui ne peut excéder deux mois à compter de la clôture de l’ensemble des opérations de recevabilité ou de vérification. »

Ainsi, il faudrait détruire définitivement les données, deux mois seulement au plus tard après les avoir étudiées, sauf suite (disciplinaire ou judiciaire).

Prenons l’exemple très concret d’un lanceur d’alerte qui révèle des faits de harcèlement moral dont il indique avoir été témoin. L’entreprise ouvre une enquête interne. Comme malheureusement souvent dans ces cas-là, la parole peine à se libérer, les témoignages sont rares, non concordants ; l’enquête ne permet pas de caractériser des « comportements répétés », selon la définition légale du harcèlement moral. Deux mois plus tard, les données sont détruites. Quelques semaines après la destruction, une autre alerte intervient. Impossible de la recouper avec la précédente. Le second témoignage, pris isolément, est encore insuffisant, alors qu’additionné au précédent, il permettait de prouver la répétition des faits, et donc le harcèlement.

La destruction brutale est ainsi, en soi, un risque grave, pour l’entreprise et ses équipes, qu’un harcèlement perdure faute de pouvoir le démontrer.

La délibération de la CNIL du 22 juin 2017, modifiant l’autorisation unique n°04 relative aux dispositifs d’alertes, semble ouvrir une voie raisonnable en permettant (article 6) l’archivage, au lieu d’exiger la destruction pure : les données sont en effet « détruites ou archivées », les délais variant selon que l’alerte n’entre pas dans le cadre légal (destruction ou archivage sans délai), que l’alerte n’est pas suivie de procédure disciplinaire ou judiciaire (délai de deux mois après clôture des opérations de vérification) ou qu’elles l’ont été (destruction ou archivage jusqu’au terme de la procédure ».

Reste que la destruction ou l’archivage sont imposés, sauf évidemment procédure ouverte, dans les deux mois de opérations de vérification…

La solution la plus pratique se trouve dans une autre règle, qui vise également les dispositifs d’alertes professionnelles : la délibération de la CNIL du 14 janvier 2016 relative aux données collectées pour la préparation, l’exercice et le suivi de contentieux (autorisation unique n°46). L’article 4 dispose : « les données collectées et traitées dans le cadre de la gestion d’un précontentieux doivent être supprimées dès le règlement amiable du litige ou, à défaut, dès la prescription de l’action en justice correspondante. »

La CNIL est donc ici en phase avec les besoins effectifs des entreprises et de leurs salariés. C’est la durée de la prescription pénale qui doit être prise en compte, dès lors que l’alerte sera relative à un crime ou un délit (rappelons que les durées de prescription ont été modifiées par la loi du 27 février 2017 : 20 ans pour les crimes, 6 ans pour les délits).

Il faudra sans doute faire modifier le décret du 19 avril 2017 pour en clarifier la rédaction, mais c’est la CNIL qui est en charge de la vérification du respect de la réglementation sur la conservation des données, l’interprétation efficace et pragmatique des textes prévaudra donc.

La solution ethicorp.org est naturellement déclarée auprès de la CNIL au regard de l’AU 04 comme de l’AU 46.

 

Lancement d'ethipublic.org

ethipublic.org

 

 

 

Ethipublic.org est née !

La famille d'ethicorp s'agrandit avec le lancement d'ethipublic.org, plateforme destinée aux entités publiques, également soumises aux dispositions de la loi Sapin 2 et aux problématiques de transparence, d'éthique et d'alertes.

Grande enquête sur la compliance

ethicorp.org et l'AFJE - première association de juristes d'entreprises en France - lancent une grande enquête auprès des juristes sur la compliance et la loi Sapin 2.

Notre objectif est d'établir un état des lieux des systèmes internes de compliance, de leur efficacité ou limites, afin d'identifier les besoins et attentes des entreprises en la matière.
 
Les résultats de l'enquête seront publiés prochainement !
 
Juristes, compliance officers, pour répondre c'est ici : https://fr.research.net/r/enquetecompliance

La loi Sapin 2 est publiée

La loi Sapin 2, qui modifie en profondeur les dispositions légales en matière d'alertes, est publiée. Vous pouvez consulter le texte ici.

La loi donne en premier lieu, pour la première fois, une définition du lanceur d'alertes :

"Un lanceur d’alerte est une personne physique qui révèle ou signale, de manière désintéressée et de bonne foiun crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance."

Lire la suite

ethicorp.org et ethipublic.org sélectionnées pour le 12ème #jeudigital

Jeudigital2Présentation par William FEUGEREJeudigital3

Le 12 mai 2016, ethicorp.org et ethipublic.org ont été sélectionnées comme legal tech innovantes et ont fait une présentation au Ministère de la Justice, devant Jean-Jacques URVOAS, Garde des Sceaux, ministre de la Justice, Axelle LEMAIRE, Secrétaire d'Etat chargée du Numérique, et un public composé d’acteurs publics, investisseurs et professionnels.

Jean-Jacques URVOAS (à gauche) et William FEUGERE (à droite)