Votre navigateur ne reconnait pas le javascript. Veuillez le mettre à jour.Sanction de la CNIL pour ALCOA FASTENING SYSTEMS MONTBRISON

			Sanction CNIL pour ALCOA FASTENING SYSTEMS MONTBRISON
			1

Sanction CNIL pour ALCOA FASTENING SYSTEMS MONTBRISON

DELIBERATION n°2016-229 du 21 juillet 2016


Commission Nationale de l'Informatique et des LibertésDELIBERATION n°2016-229 du 21 juillet 2016Délibération n° 2016-229 du 21 juillet 2016 autorisant la société ALCOA FASTENING SYSTEMS MONTBRISON à mettre en œuvre un traitement automatisé de données à caractère personnel ayant pour finalité la mise en œuvre d’un dispositif d’alerte professionnelleEtat: VIGUEUR

(Demande d’autorisation n° 1673645 Version 1 )
La Commission nationale de l'informatique et des libertés,
Saisie par la société ALCOA FASTENING SYSTEMS MONTBRISON d’une demande d’autorisation concernant un traitement automatisé de données à caractère personnel ayant pour finalité la mise en oeuvre d’un dispositif d’alerte professionnelle;
Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;
Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement de données à caractère personnel et à la libre circulation de ces données ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 25-I-4° ;
Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;
Vu la délibération de la Cnil n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle, telle que modifiée le 30 janvier 2014 ;
Vu le dossier et ses compléments ;
Sur la proposition de Madame Marie-France MAZARS, commissaire, et après avoir entendu les observations de M. Jean-Alexandre SILVY, commissaire du Gouvernement,
Formule les observations suivantes :
A titre liminaire, la Commission rappelle qu’elle a adopté, le 8 décembre 2005, une délibération portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d'alerte professionnelle (AU-004).
Elle observe que le traitement objet de la présente délibération ne répond pas aux conditions prévues par cette autorisation unique, notamment s’agissant du champ d’application du dispositif.
La Commission doit, par conséquent, procéder à une analyse spécifique du traitement, au regard des principes relatifs à la protection des données à caractère personnel et, notamment, de l’article 6-3° de la loi du 6 janvier 1978 modifiée qui dispose que les traitements ne peuvent porter que sur des données à caractère personnel adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs.

Responsable du traitement
La société ALCOA FASTENING SYSTEMS MONTBRISON est une société en nom collectif et est spécialisée dans le secteur d’activité de la fonderie de métaux légers.
Sur la finalité
La société ALCOA FASTENING SYSTEMS MONTBRISON a déposé un dossier de demande d’autorisation préalablement à la mise en place d’un dispositif d’alerte professionnelle.
La Commission considère qu’il y a lieu de faire application des dispositions de l’article 25-I-4° de la loi du 6 janvier 1978 modifiée qui soumet à autorisation les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.
La Commission rappelle qu’un dispositif d’alerte professionnelle doit, de façon générale, être limité dans son champ d’application et que son utilisation doit demeurer facultative et complémentaire par rapport aux autres voies de remontée de réclamations des salariés.
En l’espèce, le dispositif d’alerte professionnelle mis en œuvre par la société ALCOA FASTENING SYSTEMS MONTBRISON est dédié au traitement des signalements relatifs aux manquements dans les domaines suivants :
-Bancaires, comptables et financiers (fraude comptable, financière, bancaire, détournements d’actifs) ;
-Lutte contre la corruption ;
-Pratiques anticoncurrentielles ;
-Respect de la réglementation sur l’environnement ;
-Respect de la réglementation relative à l’hygiène, la santé, la sécurité au travail et aux conditions de travail ;
-Respect des règles relatives aux conflits d’intérêt ;
-Divulgations d’informations confidentielles (secret de fabrique et secret des affaires) ;
-Lutte contre le harcèlement moral et sexuel ;
-Lutte contre les discriminations (discriminations liées à la vie privée, à l’appartenance syndicale ou l’exercice de fonctions syndicales) ;
-Violence physiques et morales ;
-Respect des droits de l’homme ;
-Pratiques commerciales prohibées ou trompeuses ;
-Atteintes aux systèmes d’information ;
Ce mode de signalement ne se substitue pas à la remontée hiérarchique classique, en ce qu’il constitue un canal de signalement alternatif pour les personnes ne souhaitant pas emprunter la voie habituelle de signalement.
La Commission estime que le dispositif qui lui est présenté est limité dans son champ d’application, facultatif et qu’il répond à l’intérêt légitime du responsable du traitement, conformément aux dispositions du 5° de l’article 7 de la loi du 6 janvier 1978 modifiée.
Elle considère, dès lors, que les finalités du traitement sont en l’espèce déterminées, explicites et légitimes.
Sur les données traitées
Les catégories de données collectées sont relatives à :
l’identité, fonction et coordonnées de l'émetteur de l'alerte ; l’identité, fonction et coordonnées des personnes faisant l'objet d'une alerte et les éventuels témoins mentionnés ; l’identité, fonction et coordonnées des personnes intervenant dans le recueil ou le traitement de l'alerte ; faits signalés ; La Commission estime que ces données sont adéquates, pertinentes et non excessives au regard de la finalité poursuivie par le responsable de traitement.
S’agissant du traitement de l’identité de l’émetteur de l’alerte, la Commission considère que l’obligation de s’identifier pour l’émetteur de l’alerte est de nature à limiter les risques de mise en cause abusive ou disproportionnée de l’intégrité professionnelle, voire personnelle des personnes concernées.
La Commission prend acte qu’en l’espèce le dispositif impose que l’émetteur de l’alerte s’identifie, étant précisé que son identité est néanmoins traitée de façon confidentielle par les personnes chargées de la gestion des alertes.
Elle note par ailleurs que le responsable du traitement n’incite pas les usagers du dispositif à émettre des alertes anonymes et qu’il s’engage, en cas d’alerte anonyme, à traiter cette dernière de façon différenciée. Les alertes anonymes peuvent en effet être traitées lorsque la gravité des faits le justifie, en présence d’éléments factuels suffisamment détaillés et, enfin, à condition de prendre des précautions particulières, telles qu'un examen préalable par son premier destinataire de l'opportunité de sa diffusion dans le cadre du présent dispositif.
Sur les destinataires
S’agissant des modalités de signalement, la Commission prend acte du fait que tout salarié de la société ALCOA FASTENING SYSTEMS MONTBRISON peut déclencher la procédure par une ligne téléphonique dédiée et par un site internet dédié.
L’alerte est recueillie par le personnel en charge de la réception des alertes, le personnel en charge de la vérification interne des alertes et le directeur de l’éthique du groupe Alcoa.
La Commission considère que ces destinataires présentent un intérêt légitime à accéder aux données du présent traitement.
Elle relève, par ailleurs, que ces personnes sont toutes astreintes à une obligation renforcée de confidentialité, contractuellement définie.
Sur l’information et le droit d’accès
La Commission prend acte du fait que les institutions représentatives du personnel ont été informées et consultées, préalablement à la décision de mise en œuvre dans l'entreprise, sur le dispositif d’alerte professionnelle et sur les modalités de sa mise en œuvre.
Les personnes concernées sont informées du dispositif, conformément à l’article 32 de la loi du 6 janvier 1978 modifiée, par la diffusion du de la Charte éthique du groupe, par une note d’information sur l’intranet ainsi que par voie d’affichage.
Elles sont également informées que l’utilisation de bonne foi du dispositif, même si les faits s’avèrent par la suite inexacts ou ne donnent lieu à aucune suite, n’expose son auteur à aucune sanction, mais que l’utilisation abusive du dispositif peut en revanche exposer son auteur à des sanctions disciplinaires et à des poursuites judiciaires.
Une personne mise en cause par un signalement est quant à elle informée par le directeur de l’éthique du groupe de l’existence d’une alerte à son encontre et notamment des faits reprochés et des modalités d’exercice de ses droits d’accès et de rectification. Cette information intervient dès l’enregistrement de données à caractère personnel la concernant. Néanmoins, si des mesures conservatoires doivent être prises, notamment pour prévenir la destruction de preuves relatives à l’alerte, l’information de la personne intervient après l’adoption de ces mesures.
Les droits d’accès et de rectification, prévus par les articles 39 et 40 de la loi du 6 janvier 1978 modifiée, s’exercent quant à eux, auprès du déontologue du groupe.
La Commission considère que ces modalités d’information et d’exercice des droits des personnes, décrites ci-dessus, sont satisfaisantes.
Sur les mesures de sécurité
Le responsable de traitement, en application de l’article 34 de la loi du 6 janvier 1978 modifiée, doit prendre toutes les précautions utiles pour préserver la sécurité des données collectées et traitées, au regard de la nature des données, des risques présentés par le traitement, et notamment empêcher que des tiers non autorisés y aient accès par l’intermédiaire de mesures de sécurité physiques, logiques et organisationnelles.
La Commission relève à cet égard que les utilisateurs s’authentifient avec un identifiant et un mot de passe.
Elle rappelle qu’elle recommande le recours à des mots de passe d’une longueur minimale de huit caractères, composés de minuscules, majuscules, chiffres et caractères spéciaux. Le mot de passe doit être modifié par l’utilisateur dès sa première connexion puis régulièrement.
Concernant les administrateurs du traitement, la Commission recommande en outre de porter la longueur du mot de passe à dix caractères minimum.
La Commission rappelle également que les mots de passe ne doivent pas être stockés en clair en base de données et recommande ainsi d’appliquer la fonction de hachage HMAC à clé secrète.
Un mécanisme de gestion des habilitations permet, par ailleurs, de garantir que seules les personnes habilitées puissent accéder aux données nécessaires à la réalisation de leurs missions. A cet égard, la Commission rappelle que la gestion des habilitations doit faire l’objet de procédures formalisées, validées par le responsable de traitement, portées à la connaissance des utilisateurs et être régulièrement mises à jour.
Un mécanisme de journalisation des accès à l’application et des opérations effectuées permet de détecter d’éventuels accès ou opérations non souhaitées ou interdites, avec une conservation des « logs » de journalisation pendant une durée de six mois glissants.
Enfin, des mesures nécessaires permettent d’assurer la maintenance du matériel et sa mise au rebut dans des conditions de sécurité satisfaisantes, en particulier s’agissant de l’absence de données à caractère personnel stockées dans les matériels remisés.
La Commission rappelle que l'usage d'outils ou de logiciels développés par des tiers dans le cadre de la mise en œuvre d'un traitement de données à caractère personnel reste sous la responsabilité du responsable de traitement qui doit notamment vérifier que ces outils ou logiciels respectent l'ensemble des obligations que la loi du 6 janvier 1978 modifiée met à sa charge.
Elle rappelle également qu’un responsable de traitement conserve la responsabilité des données à caractère personnel communiquées ou gérées par ses sous-traitants et, le cas échéant, que le contrat établi entre les parties doit mentionner les objectifs de sécurité qu'un sous-traitant doit respecter.
La Commission rappelle enfin que l’exigence de sécurité prévue par l’article 34 de la loi du 6 janvier 1978 modifiée nécessite la mise à jour des mesures de sécurité au regard de la réévaluation régulière des risques.
Sur les autres caractéristiques du traitement
La Commission relève que les durées de conservation prévues par le responsable de traitement sont identiques à celles mentionnées à l’article 6 de l’autorisation unique n°004, à savoir :
les données relatives à un signalement, considéré dès son recueil, par le responsable du traitement des signalements, comme n'entrant pas dans le champ du dispositif sont détruites ou archivées sans délai ; lorsque le signalement n'est pas suivi d'une procédure disciplinaire ou judiciaire, les données relatives à ce signalement sont détruites ou archivées par le responsable du traitement des signalements ou ses délégataires dans un délai de deux mois à compter de la clôture des opérations de vérification ; si une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données sont conservées jusqu’au terme de la procédure ; les données faisant l'objet de mesures d'archivage sont conservées, dans le cadre d'un système d'information distinct à accès restreint, pour une durée n'excédant pas les délais de prescription applicables. un contrat rédigé sur le modèle des clauses contractuelles élaborées par la Commission européenne relatives aux transferts de données de responsable de traitement à sous-traitant. les données relatives à un signalement, considéré dès son recueil, par le responsable du traitement des signalements, comme n'entrant pas dans le champ du dispositif sont détruites ou archivées sans délai ; lorsque le signalement n'est pas suivi d'une procédure disciplinaire ou judiciaire, les données relatives à ce signalement sont détruites ou archivées par le responsable du traitement des signalements ou ses délégataires dans un délai de deux mois à compter de la clôture des opérations de vérification ; si une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données sont conservées jusqu’au terme de la procédure ; les données faisant l'objet de mesures d'archivage sont conservées, dans le cadre d'un système d'information distinct à accès restreint, pour une durée n'excédant pas les délais de prescription applicables. un contrat rédigé sur le modèle des clauses contractuelles élaborées par la Commission européenne relatives aux transferts de données de responsable de traitement à sous-traitant. les données relatives à un signalement, considéré dès son recueil, par le responsable du traitement des signalements, comme n'entrant pas dans le champ du dispositif sont détruites ou archivées sans délai ; lorsque le signalement n'est pas suivi d'une procédure disciplinaire ou judiciaire, les données relatives à ce signalement sont détruites ou archivées par le responsable du traitement des signalements ou ses délégataires dans un délai de deux mois à compter de la clôture des opérations de vérification ; si une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données sont conservées jusqu’au terme de la procédure ; les données faisant l'objet de mesures d'archivage sont conservées, dans le cadre d'un système d'information distinct à accès restreint, pour une durée n'excédant pas les délais de prescription applicables. un contrat rédigé sur le modèle des clauses contractuelles élaborées par la Commission européenne relatives aux transferts de données de responsable de traitement à sous-traitant. les données relatives à un signalement, considéré dès son recueil, par le responsable du traitement des signalements, comme n'entrant pas dans le champ du dispositif sont détruites ou archivées sans délai ; lorsque le signalement n'est pas suivi d'une procédure disciplinaire ou judiciaire, les données relatives à ce signalement sont détruites ou archivées par le responsable du traitement des signalements ou ses délégataires dans un délai de deux mois à compter de la clôture des opérations de vérification ; si une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données sont conservées jusqu’au terme de la procédure ; les données faisant l'objet de mesures d'archivage sont conservées, dans le cadre d'un système d'information distinct à accès restreint, pour une durée n'excédant pas les délais de prescription applicables. un contrat rédigé sur le modèle des clauses contractuelles élaborées par la Commission européenne relatives aux transferts de données de responsable de traitement à sous-traitant. La Commission estime que ces durées de conservation ne sont pas excessives au regard de la finalité poursuivie par le traitement conformément aux dispositions de l’article 6-5° de la loi du 6 janvier 1978 modifiée.
S’agissant des transferts de données transfrontaliers, la Commission relève que les transferts réalisés vers la maison mère du groupe ALCOA FASTENING SYSTEMS MONTBRISON ont pour finalité la mise en oeuvre d’un dispositif d’alerte professionnelle. Ils sont encadrés par :
les données relatives à un signalement, considéré dès son recueil, par le responsable du traitement des signalements, comme n'entrant pas dans le champ du dispositif sont détruites ou archivées sans délai ; lorsque le signalement n'est pas suivi d'une procédure disciplinaire ou judiciaire, les données relatives à ce signalement sont détruites ou archivées par le responsable du traitement des signalements ou ses délégataires dans un délai de deux mois à compter de la clôture des opérations de vérification ; si une procédure disciplinaire ou des poursuites judiciaires sont engagées à l'encontre de la personne mise en cause ou de l'auteur d'une alerte abusive, les données sont conservées jusqu’au terme de la procédure ; les données faisant l'objet de mesures d'archivage sont conservées, dans le cadre d'un système d'information distinct à accès restreint, pour une durée n'excédant pas les délais de prescription applicables. un contrat rédigé sur le modèle des clauses contractuelles élaborées par la Commission européenne relatives aux transferts de données de responsable de traitement à sous-traitant. S’agissant des transferts de données transfrontaliers, la Commission relève que les transferts de données réalisés vers un prestataire établi aux Etats-Unis ont pour finalité la mise en œuvre d’un dispositif d’alerte professionnelle. Ils sont encadrés par :
-un contrat rédigé sur le modèle des clauses contractuelles élaborées par la Commission européenne relatives aux transferts de données de responsable de traitement à sous-traitant.

Autorise, conformément à la présente délibération, la société ALCOA FASTENING SYSTEMS MONTBRISON à mettre en œuvre le traitement susmentionné.
Pour La Présidente,
Le Vice-Président délégué,
Marie-France MAZARS



Nature de la délibération: Autorisation
Date de la publication sur legifrance: 9 septembre 2016

Date de l'article :