Les news qui ont fait l’actu

Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.

Semaine du 22 au 27 novembre 2021

Rédigée par Lyes Bendou, Alexandre Cusanno, Mathilde de Biasi, Léa Dupont, Vincent Kerharou, Louis Poulain, Emmy Paret, Manon Roy, Oriane Serrot , Alexis Spagnolo, Emma Walter, Mélanie Welisarage, étudiants de Master 1 Management & Droit des affaires SKEMA/ULCO, sous la direction de Mme Isabelle Bufflier et M. Frédéric Munier, professeurs SKEMA BS

Lyes Bendou

Lyes Bendou

23 ans
Alexandre Cusanno

Alexandre Cusanno

20 ans
Mathilde De Biasi

Mathilde De Biasi

21 ans
Léa Dupont

Léa Dupont

21 ans
Vincent Kerharou

Vincent Kerharou

20 ans
Louis Poulain

Louis Poulain

21 ans
Emmy Paret

Emmy Paret

21 ans
Manon Roy

Manon Roy

22 ans
Oriane Serrot

Oriane Serrot

21 ans
Alexis Spagnolo

Alexis Spagnolo

22 ans
Emma Walter

Emma Walter

20 ans
Mélanie Welisarage

Mélanie Welisarage

21ans
L'Unesco adopte une recommandation sur l'éthique de l'intelligence artificielle

Le 25 novembre 2021, les 193 membres de l’UNESCO, institution spécialisée de l’Organisation des Nations unies (ONU), ont d’adopté une recommandation sur l’intelligence artificielle. La directrice générale de l’UNESCO a ainsi indiqué que ce texte représentait le « premier cadre éthique mondial pour l’usage de l’intelligence artificielle ». L’objectif est de donner un cadre à ce nouveau système et notamment de trouver le bon équilibre entre la collecte de données et la gestion de la vie privée des citoyens. Ce texte a été le fruit du travail d’un groupe d’experts internationaux constitué en mars 2020. Une première version avait été rédigée à la suite d’un vaste processus de consultation qui s’est déroulée en ligne, mais aussi au travers d’ateliers et de consultations régionales. C’est donc la version définitive de la recommandation vient donc d’être adoptée. L’Unesco y recommande ainsi aux États et aux entreprises de mettre en place « des études d’impact » pour identifier les avantages et les risques, d’envisager « les répercussions sur les droits de l’Homme, le droit du travail, l’environnement et les écosystèmes », d’étudier des mécanismes de « diligence » et de « supervision ».

Pourquoi cette actu : Ce nouveau texte illustre la volonté d’encadrement par des normes éthiques de l’intelligence artificielle tant sur le plan national qu’international. Cependant, l’influence de cette nouvelle recommandation est à nuancer. En effet, il s’agit, comme souvent au plan international et en matière éthique, d’une norme de soft law ou droit souple non contraignante pour les Etats signataires. Elle peut cependant être une source d’inspiration, illustration d’un soft power, qui influence plus qu’il n’impose au moment où l’Union européenne est en passe d’adopter un projet de règlement en matière d’éthique de l’IA.

voir l'article
La CNIL présente à la journée réflexions et débats sur les enjeux éthiques de la santé connectée en France

Le 30 novembre 2021, était prévu que la présidence de la CNIL intervienne lors de la journée de réflexions et de débats organisée à Toulouse autour des enjeux éthiques de la santé connectée en France. Le Groupe VYV, premier acteur mutualiste de santé et protection sociale en France, formé par une Union mutualiste en 2017, est à l’origine de cet évènement portant sur l’e-santé et l’éthique, autour d’ateliers favorisant l’innovation en matière de solutions éthiques unissant santé et numérique.

Pourquoi cette actu : Après les nombreuses cyberattaques dont certains hôpitaux ont fait l’objet, et les fuites de données de santé opérées par le biais de certaines pharmacies dévoilées par les médias,
Au moment où la pandémie reprend et où tous les regards sont tournés vers les établissements de soins et les laboratoires, il est essentiel que des réflexions poussées, intégrant la CNIL, autorité de contrôle des données personnelles, aient lieu afin de protéger au mieux les données de santé des citoyens, données sensibles et stratégiques.

voir l'article
Le point par les professionnels sur l’open data des décisions de justice

Les représentants du ministère de la Justice, de la Cour de cassation, du Conseil d’Etat et des avocats se sont réunis la semaine dernière aux Rendez-Vous des Transformations du droit. Ils ont discuté des avancées à venir dans le domaine de l’open data des décisions de justice. Le constat est que le calendrier de mise en oeuvre s’échelonne jusqu’à fin 2025 mais l’encadrement juridique demeure incertain. Le cadre juridique fixé est protecteur de la vie privée des personnes physiques notamment par le biais du principe d’occultation systématique des noms et des prénoms des personnes puis du dispositif d’occultation complémentaire qui est laissé à l’initiative du juge. Mais des interrogations importantes et des risques subsistent et expliquent pourquoi le processus prend du temps. La Cour de cassation réfléchit par ailleurs à la certification des outils et des données, en effet il y a déjà aujourd’hui plus de 15 000 décisions publiées par an sur le site Légifrance et ce nombre sera multiplié par plus de 15 d’ici 2025. Des risques se posent donc en termes de forum shopping, d’altération des données et de respect de la spécificité juridique, chaque affaire ayant ses données contextuelles et ses variables propres.
Pourquoi cette actu : Alors que la Constitution française, au travers de la Déclaration des droits de l’homme et du citoyen et la Convention européenne de sauvegarde des droits de l’homme consacrent comme droit fondamental le droit d’accès à la justice des citoyens, la transformation numérique de la justice pose nécessairement la question d’un accès facilité et plus complet aux décisions de justice rendues par toutes les juridictions. La France, depuis 2013, met en œuvre une politique d’open data ou ouverture des données publiques, consacrée, en ce qui concerne les décisions de justice, par la loi Lemaire du 7 octobre 2016 pour une République numérique. Néanmoins, l’une des difficultés rencontrées est de parvenir à protéger les données personnelles des personnes concernées ainsi que leur vie privée. L’anonymisation est ainsi devenue la question cruciale car par le biais de l’intelligence artificielle, il est plus facile d’identifier les personnes, même indirectement. Il s’agit donc de concilier les bénéfices à venir de l’open data avec ces risques pour les citoyens, ce qui peut expliquer la lenteur de la mise en place des projets gouvernementaux. C’est certainement le prix à payer pour une justice plus accessible, plus prévisible mais aussi plus vertueuse.

voir l'article
L’Assemblée nationale adopte en première lecture une proposition de loi sur le cyberscore des plateformes numériques, réseaux sociaux et sites de visioconférences

Le 26 novembre 2021, l’Assemblée nationale a adopté en première lecture, une proposition de loi relative au cyberscore des plateformes numériques destinée au grand public, préalablement adoptée par le Sénat le 22 octobre 2020. Ce texte doit permettre aux internautes d’évaluer par le biais d’un visuel la sécurisation de leurs données sur les plateformes, réseaux sociaux et sites de visioconférences qu’ils fréquentent, de manière semblable au nutriscore des produits alimentaires. Les informations du cyberscore seront tirées d’un audit de sécurité que les opérateurs concernés devront faire réaliser par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Les internautes devraient ainsi être informés non seulement de la sécurisation mais également de la localisation d’hébergement de leurs données personnelles. Ce texte très général prévoit qu’un décret fixe les critères permettant d’identifier les plateformes et sites concernés, en fonction de l’importance de leur activité, et qu’un arrêté précise les critères pris en compte par le diagnostic de sécurité. L’entrée en vigueur de ce texte, s’il est adopté, est prévue au 1er octobre 2023.

Pourquoi cette actu : Le vol de données personnelles et les cyberattaques sont au cœur de l’actualité. La protection des données personnelles des citoyens français et européens est donc une question essentielle, et leur permettre d’identifier facilement au premier coup d’oeil les sites fiables paraît être une avancée certaine, vu le succès des nutriscores en matière alimentaire. Néanmoins, tout comme le Secrétaire d’Etat au numérique Cédric O le signalait, avec ce nouvel outil il faut se méfier du sentiment de « fausse sécurité », ce n’est pas parce qu’un site est bien classé et que ces données sont hébergées en France qu’il ne peut pas être la cible de cyberattaques. Ce qui est particulièrement intéressant ici est que le cyberscore concernera les plateformes les plus fréquentées par le grand public et où corrélativement, la captation de leurs données est la plus aisée pour des opérateurs peu vertueux. Quant à la connaissance de la localisation de l’hébergement de leurs données personnelles par les internautes, le cyberscore peut certainement devenir le bras armé de la souveraineté numérique française et européenne, à condition bien entendu que des solutions d’hébergement y soient disponibles. Lorsqu’on voit les ambiguïtés et les difficultés rencontrées et par le Cloud européen et le projet Gaia-X il est possible de légitimement s’interroger sur cette capacité.

voir l'article
Un projet de loi indien s’apprête à interdire toutes les cryptomonnaies privéesalerte

Le Parlement indien souhaiterait interdire par le biais d’un texte de loi toute crypto-monnaie privée, tout en favorisant corrélativement le lancement d’une monnaie numérique par la banque centrale. Le texte, présenté au Parlement le 23 novembre 2021, dressera ainsi un cadre favorable à une monnaie officielle avec comme objectifs d’éviter le blanchiment d’argent et le risque de spéculation. Des projets similaires avaient déjà été introduits sans jamais toutefois aboutir. L’Inde est particulièrement concernée car c’est le deuxième pays où la population se sert le plus de la crypto-monnaie.

Pourquoi cette actu : De plus en plus de pays décident d’encadrer l’utilisation des cryptomonnaies privées au profit d’une monnaie numérique nationale. Le cas de l’Inde fait ainsi écho à celui de la Chine, qui a, en 2021, encadré la possession, le minage et les échanges de cryptomonnaies, tout en développant son propre yuan numérique. Si la solution de la monnaie numérique unique nationale peut être une solution pour éviter les dérives, le G7 a attiré l’attention en octobre dernier des pays qui sont en passe de l’adopter qu’ils devraient néanmoins respecter une règlementation stricte pour ne pas déstabiliser ces marchés car ce pourrait être ainsi en définitive une « fausse bonne idée ».

voir l'article
Les chauffeurs Uber interpellent la CNIL

Le 23 novembre 2021, une dizaine de chauffeurs de VTC (voitures de transport avec chauffeur) se sont réunis devant le siège de la CNIL à Paris, pour dénoncer le manque de sanction envers Uber. Selon l’intersyndicale nationale VTC (INV), la société ne respecterait pas le RGPD. Depuis plusieurs mois en effet, des chauffeurs Uber auraient vu leur compte Uber suspendu, avec comme explications de la part de l’entreprise, l’existence d’une « anomalie » ou « une violation des conditions d’utilisations de la plateforme ». Un avocat de la Ligue des Droits de l’Homme à porter plainte auprès de la CNIL à propos de ces déconnexions. Ces dernières seraient, selon Brahim Ben Ali, le secrétaire général de l’INV, le fruit d’un « management algorithmique opaque » auquel il serait quasi impossible de s’opposer et contraire à l’article 22 du RGPD. Celui-ci précise en effet que « La personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage, produisant des effets juridiques la concernant ou l’affectant de manière significative de façon similaire ». La société Uber assure pourtant que les suspensions sont décidées « de façon proportionnée, consciencieuse et minutieuse et que « toute décision de ce type est prise après un examen manuel réalisé par notre équipe de spécialistes ».
Pourquoi cette actu : La société Uber qui a fait l’objet de nombreuses critiques et condamnations est à nouveau au cœur d’une polémique. Le siège social d’Uber dans l’Union européenne étant à Amsterdam, la CNIL a transmis le dossier des chauffeurs français « à l’autorité néerlandaise de protection des données, en application du mécanisme de coopération prévu par le RGPD ». Ce n’est pas la première fois d’ailleurs que l’autorité de contrôle néerlandaise est saisie d’une telle demande face à Uber. En avril 2021, un tribunal d’Amsterdam a ainsi contraint Uber à rétablir le compte de six chauffeurs « qui ont été déconnectés uniquement sur la base d’un traitement automatisé ». Mais Uber n’est pas la seule société à se voir reprocher l’utilisation abusive d’un algorithme. La CNIL italienne a, début juillet, prononcé une sanction de 2,6 millions d’euros contre la plateforme de livraison de repas à domicile Foodinho, qui gérait ses livreurs à vélo à l’aide d’un algorithme, sans aucune intervention humaine. Le maillage des autorités de contrôle européennes en matière de protection de données personnelles ainsi instaurée par le RGDP semble donc efficace, même si les citoyens rencontrent quelques difficultés à en comprendre la logique et assimilent cette transmission des dossiers à un déni de justice français. Cette réactivité est pourtant tout à fait bienvenue face à l’utilisation croissante d’algorithmes dans les relations sociales. N’oublions pas que les scientifiques et les éthiciens préconisent que l’une des premières vertus de l’intelligence artificielle doit être sa transparence et son explicabilité.

voir l'article
La ville d’Annecy, en proie à une cyberattaque

Le 25 novembre 2021, le maire de la ville d’Annecy a signalé “l’arrêt de tous les services informatiques de la ville”, rendant inaccessible l’ensemble des démarches administratives des services municipaux. Tout porte à croire que la ville a été la cible d’un logiciel rançonneur, un programme malveillant utilisé afin de prendre en otage des données personnelles et le contrôle des systèmes. En décembre dernier, la municipalité de la ville avait déjà été victime de cyberattaque. Elle avait dû faire appel à des spécialistes pour arriver à récupérer les accès et les données, ce qui avait pris plusieurs jours. Toutefois, cette attaque n’a pas impecté la plupart des services municipaux en physique qui sont restés ouverts.
Pourquoi cette actu : Après les hôpitaux français ciblés par des cyberattaques c’est au tour des municipalités. Annecy n’est cependant pas la seule à avoir été ciblée. Ce fut le cas de La Rochelle, la métropole d’Aix-Marseille, Vincennes, Charleville-Mézières ou encore Angers. Mais c’est aussi le cas à l’étranger également, par exemple les principales villes canadiennes (Toronto, Vancouver et Montréal), ont vu leurs réseaux de transports récemment piratés. S’il paraît évident que les cyberdélinquants attaquent des systèmes apparemment moins bien protégés, la défense s’organise et on constate que la seconde cyberattaque d’Annecy n’a pas affecté le fonctionnement quotidien de la municipalité. Par ailleurs, nous avions signalé dans de précédentes actualités que les services de police européens et internationaux s’organisaient efficacement pour démanteler les réseaux de de cyberdélinquants. Comme le dit la maxime « Tout seul on va plus vite, mais ensemble on va plus loin »…

voir l'article
Huawei : 190 applications de l'AppGallery infectées par un cheval de troie

Le 25 novembre 2021, le magasin d’applications de la société high tech Huawei a subi une cyberattaque qui a permis le vol de nombreuses données personnelles et numéros de téléphone de ses clients. La technique du cheval de Troie utilisée pour cette attaque a permis aux hackers de s’installer sur plus de 9 millions de téléphones, dans des applications bien souvent dédiées aux jeunes utilisateurs. Il a ainsi pu suffire à ces utilisateurs d’autoriser l’installation de l’application et d’autoriser l’accès à la gestion des appels pour que le cheval de Troie soit installé.

Pourquoi cette actu : Face à la multiplication des cyberattaques et notamment de l’utilisation de la technique bien connue du cheval de Troie, les utilisateurs ont du souci à se faire quant à la protection de leurs données. Alors que ces municipalités et des hôpitaux ont pu subir de telles cyberattaques en France ou à l’étranger, en raison de leur plus faible protection il est très surprenant de voir qu’un géant de la high tech est tout aussi vulnérable. Comme nous l’avons vu dans de précédentes actualités, les réseaux commencent à être démantelés mais la cyberdéfense doit passer nécessairement pour être efficace par une organisation répressive européenne et internationale.

voir l'article
L'Italie inflige des amendes de 10 millions d'euros à Apple et Google pour une mauvaise utilisation des données de leurs clients

Le 26 novembre 2021, l’Autorité de la concurrence italienne a condamné à une amende de 10 millions d’euros chacune les deux sociétés Apple et Google pour mésusage de données de leurs clients, venant sanctionner des pratiques jugées agressives. En effet, la CNIL italienne reproche à ces deux entreprises américaines un manque de transparence quant à la collecte des données des utilisateurs qui ont omis sciemment certaines informations nécessaires à l’acceptation en pleine conscience de la collecte des données par les consommateurs, violant ainsi le Code de commerce italien et le RGPD.
Pourquoi cette actu : L’Italie est un des pays membres de l’Union européenne qui se montre le plus virulent envers les géants du numérique. L’Autorité de la concurrence italienne avait déjà sanctionné Apple et Amazon pour entente commerciale sur le terrain du droit de la concurrence. A l’heure où les données personnelles des consommateurs constituent une formidable source de profits à traiter par le biais de l’intelligence artificielle, cette politique agressive de sanction des GAFAM mise en place par l’Italie semble devoir inciter l’Union européenne à prendre des mesures plus concrètes contre ces superpuissances du numérique.

voir l'article
Une solution au stockage des données numériques : des documents encodés sur ADN font leur entrée aux Archives nationales

Le 23 novembre 2021, des chercheurs du CNRS ont remis officiellement aux Archives nationales, une nouvelle solution de stockage des archives. En effet, leur prouesse a été de transformer un code informatique en code génétique à travers une petite capsule. Ces scientifiques ont ainsi transmis l’ADN artificiel de la Déclaration des Droits de l’Homme et la Déclaration des Droits de la femme de 1791 qui pourront être stockées sous cette forme aux Archives nationales.
Pourquoi cette actu : Cette innovation constitue certainement l’avenir du stockage des données par le biais de cet ADN numérique. Il faut saluer le progrès technologique mais aussi l’avancée en matière environnementale que constitue cette information. A l’heure actuelle, le stockage de données représente une source de pollution importante ainsi qu’une perte d’espace. Avec ce système, “L’intégralité des données mondiales pourrait tenir dans 100 grammes d’ADN, soit le volume d’une tablette de chocolat” résume Boris Hallier, journaliste. De même, les risques quant à l’usure du support sont diminués grâce à cette capsule ADN et par rapport à du papier qui se conservera moins longtemps. Voilà un instrument de plus tout à fait propice à la lutte contre le réchauffement climatique

voir l'article

Focus de la semaine

Régulation des grands acteurs du numérique : le Conseil de l’Union européenne donne son accord sur le DSA et le DMA

Le 25 novembre 2021, les 27 ministres européens chargés du Numérique, réunis au Conseil à Bruxelles ont adopté, à l’unanimité, une « orientation générale » sur le Digital Services Act (DSA). Deux jours plutôt, ils s’étaient déjà mis d’accord sur le Digital Markets Act (DMA) ou « règlement sur les marchés numériques ».

Les deux projets de règlement ont été publiés en décembre 2021 par la Commission européenne. Et si à l’époque, personne ne savait combien de temps allaient durer les négociations, tous les États avaient affiché leur intention d’aller vite. Ce feu vert du Conseil de l’Union européenne en est la preuve ! Désormais, tous espèrent que le Parlement et le Conseil parviendront à un texte final d’ici le printemps 2022.

Ce n’est toutefois pas seulement une question de timing. Comme le souligne Thierry Breton, commissaire européen au Marché intérieur, l’adoption des deux propositions à l’unanimité des États montre que « tout le monde a compris l’importance cruciale des enjeux. » En effet, il s’agit à la fois de protéger les utilisateurs des contenus et produits illicites, dangereux ou contrefaits et de lutter contre le monopole des GAFAM en renforçant les exigences de transparence et en prévenant les abus de position dominante. Grâce à ces textes, « L’Europe sera le premier continent avec un vrai corpus solide de règles pour l’univers digital. »

Toutefois, le Conseil et le Parlement n’ont pas toujours été en phase, notamment à propos du DSA. Si le Conseil a souligné l’importance du retrait obligatoire et rapide des contenus illégaux signalés par des tiers de confiance, il a rapidement exclu les options les plus radicales concernant le contrôle des publications sur les grandes plateformes, comme par exemple le filtrage généralisé des publications. Et le processus législatif n’est pas terminé : des désaccords persistent entre la Commission, le Conseil et le Parlement et les lobbys restent très actifs.

Pourquoi ce focus : D’une part, il s’agit d’un sujet d’actualité brûlant : la régulation des géants du numérique. On peut d’ailleurs rattacher cette actu à la tribune d’Emmanuel Combe, président actuel de l’Autorité de la concurrence française, publié dans Le Monde le 22 novembre dernier, dans laquelle il cite le Digital Services Act (DSA) et le Digital Markets Act (DMA) et rappelle que l’idée sous-jacente de ces textes est qu’une régulation ex-ante, sous la forme d’obligations et d’interdictions, sera plus rapide et efficace qu’une détection ex-post.
D’autre part, cette actualité présente un aspect historique : “C’est un jour historique” a réagi Thierry Breton, relayé par Cédric O, le secrétaire d’Etat chargé de la transition numérique et des communications électroniques qui a souligné que “L’orientation générale obtenue à l’unanimité des États membres […] constitue un résultat historique”.

En savoir plus

Le point de vue étudiant

La digitalisation des dispositifs d’alerte professionnelle à l’épreuve du RGPD

De nombreuses entreprises sont aujourd’hui soumises à une avalanche de règlementations, notamment à celles qui imposent à certaines sociétés de mettre en place un dispositif d’alerte professionnelle.

L’alerte professionnelle ou whistlelblowing instrument de bonne gouvernance venu d’outre-atlantique, a mis du temps à s’implanter en France. En effet, une défiance historique à l’égard des délateurs, résultant d’un passé sombre et peu glorieux n’était guère propice à favoriser son expansion. Pourtant les lanceurs d’alerte ont amplement démontré, au fil de révélations toujours plus médiatisées qu’ils défendaient l’intérêt général au mépris souvent de leur intérêt personnel comme cela a été le cas de la pneumologue Irène Frachon qui mena le combat, finalement vainqueur, dénonçant le Médiator des laboratoires Servier ou plus récemment de Frances Haugen , ex-salariée, au cœur de la révélation des Facebook files.

L’émergence d’une multiplicité de dispositifs de recueil d’alerte professionnelle

L’encadrement des alertes professionnelles en entreprise est restée longtemps très lacunaire. Certes, quelques textes sans grande cohérence furent adoptés en matière de lutte contre la corruption, de fraude fiscale ou de conflits d’intérêt, alors que dès 2002, de grandes entreprises, sollicitées par des investisseurs américains, sous le joug de la loi Sarbanes Oxley, mettaient en place des dispositifs d’alerte professionnelle, limités par la CNIL, plutôt hostile, aux domaines financier, comptable, bancaire et de lutte contre la corruption.

Par la suite, le texte emblématique fut la loi Sapin II adopté le 9 décembre 2016. Ce texte a eu le grand mérite de mettre en place, pour la première fois en Europe, un statut unifié et protecteur du lanceur d’alerte, même s’il reste encore déficient. En effet, ceux qui avaient le courage de dénoncer les faits litigieux à leur hiérarchie continuaient à être injustement sanctionnés ou licenciés. Depuis l’entrée en vigueur de ce texte, force est de constater que la loi est restée fort peu appliquée par les entreprises, les enquêtes réalisées démontrant que seules 30% des administrations publiques et 50% des entreprises privées avaient mis en place un dispositif de recueil des alertes en interne.

L’Union européenne a fini par s’emparer de la question et une directive européenne 2019/1937 en date du 23 octobre 2019 renforçant la protection des lanceurs d’alerte doit prochainement être transposée par les États membres, avant le 17 décembre 2021 et notamment par la France.

Aujourd’hui, les entreprises soumises à la loi Sapin 2, complétée par un décret n° 2017-564 du 19 avril 2017 sont tenues de mettre en place plusieurs dispositifs d’alerte professionnelle. Le dispositif de l’article 17 de la loi s’adresse aux dirigeants de grandes sociétés de plus de 500 salariés et 100 millions de chiffres d’affaires et concerne « un dispositif d’alerte interne destiné à permettre le recueil des signalements » mais émanant uniquement « d’employés » et relatif « à l’existence de conduites ou de situations contraires au code de conduite de la société ».

Force est de constater que le dispositif de l’article 8, lui, est beaucoup large. En effet, il englobe davantage de petites entreprises, personnes morales de droit privé de plus de 50 salariés, quel que soit leur chiffre d’affaires. De plus les personnes concernées par l’alerte, dans ce dernier cas, sont « les membres de leur personnel » mais « aussi des collaborateurs extérieurs et occasionnels ».

Enfin, il ne faut pas oublier que la loi du 27 mars 2017 relative au devoir de vigilance des sociétés mères et des entreprises donneuses d’ordre est venue aussi renforcer l’arsenal des alertes éthiques en entreprise, en matière de respect de droits humains au sens large. Elle a exigé des très grandes entreprises (au moins 5.000 salariés employés en France, ou au moins 10.000 salariés employés en France ou à l’étranger) l’implantation d’un « mécanisme d’alerte et de recueil des signalements relatifs à l’existence ou à la réalisation des risques, établi en concertation avec les organisations syndicales représentatives dans ladite société ».

En définitive, l’arsenal des dispositifs d’alerte mis en place montre que le législateur, confronté à l’insuffisance de la répression des comportements litigieux, a choisi de multiplier dans des domaines différents, plusieurs dispositifs de prévention et détection par le biais de l’alerte professionnelle.

Les dispositifs d’alerte professionnelle, un risque pour les données personnelles ?

Depuis 2005, les dispositifs d’alerte professionnelle sont régulés par la CNIL. Rien de surprenant quand on sait que ces derniers mêlent de manière directe ou indirecte les coordonnées et des renseignements sensibles relatifs à des personnes physiques, soit en tant que lanceurs d’alerte soit en tant que personnes dénoncées, et dès lors, impliquent le traitement de données à caractère personnel.
Pour la CNIL un dispositif d’alerte professionnelle est « un système mis à la disposition des employés d’un organisme public ou privé pour les inciter, en complément des modes normaux d’alerte sur les dysfonctionnements de l’organisme, à signaler à leur employeur des comportements qu’ils estiment contraires aux règles applicables et pour organiser la vérification de l’alerte ainsi recueillie au sein de l’organisme concerné ».
Au regard des conséquences que les dispositifs d’alertes professionnelles peuvent engendrer, la CNIL a placé le déroulement des alertes professionnelles, dans un premier temps sous un mécanisme d’autorisation préalable et depuis l’entrée en vigueur du RGPD, soumis désormais plutôt à un système d’accountability, par le biais d’un référentiel adopté en décembre 2019.
Depuis lors, la mise en conformité au RGPD nécessite, s’agissant spécifiquement de la mise en place du dispositif de recueil des alertes et signalements en matière professionnelle, la réalisation obligatoire d’une analyse d’impact sur la protection des données (AIPD). Cette dernière doit être réalisée avant la mise en place du dispositif. Elle doit contenir : la description des opérations et des finalités du traitement des données ; les garanties offertes par l’employeur aux personnes concernées sur leurs droits et libertés ; les mesures envisagées pour assurer la sécurité de ces données. Sont fournis également dans le référentiel CNIL des outils pratiques pour effectuer cette analyse. Si l’analyse indique que le dispositif présente un risque d’impact élevé sur la protection des données personnelles, il est alors nécessaire que l’employeur consulte la CNIL préalablement à sa mise en œuvre.
La lente mise en place au sein des entreprises des dispositifs légaux malgré les sanctions lourdes encourues

Deux ans après l’adoption de la loi Sapin 2, une enquête de l’AFJE et Ethicorp, montrait que 60% des 1500 entreprises interrogées admettaient ne pas être en conformité avec la loi en raison, notamment, des difficultés à appréhender et à comprendre les normes applicables et du manque d’implication des instances dirigeantes.

Pourtant, ce sont bien les dirigeants des sociétés concernées qui sont responsables personnellement de la mise en place des dispositifs légaux et en particulier d’alerte professionnelle de la loi anti-corruption. Pourtant, les sanctions encourues par les dirigeants eux-mêmes, en cas de non-respect des textes ne sont pas des plus légères.

L’Agence française anticorruption (AFA) a ainsi été créée pour s’assurer de la mise en place réelle du dispositif prévu par la loi. Il est essentiel pour les entreprises de parvenir à prouver leur mise en conformité sans quoi les dirigeants pourraient encourir à titre personnel jusqu’à 200 000€ d’amende. La société quant à elle, peut voir le montant de cette amende porté au quintuple en cas de non-conformité, soit à 1 million d’euros.

Aussi, si les dispositifs d’alerte ne sont pas correctement, voire pas du tout, mis en place, ou encore si l’on empêche les salariés de pouvoir les utiliser, les dirigeants de l’entreprise encourent jusqu’à 1 an d’emprisonnement.

En cas de non-respect des obligations liées au devoir de vigilance, la responsabilité civile de la personne morale peut là encore être déclenchée. La directive européenne en préparation dans ce domaine pourrait avoir des sanctions plus énergiques.

La digitalisation des dispositifs d’alerte professionnelle, avancée ou recul pour la protection des données personnelles ?
Parce que les entreprises concernées rencontrent des difficultés à mettre en place les dispositifs complexes de conformité aux normes (ou compliance,) certaines start-ups, pour certaines ayant déjà mis en place une digitalisation des obligations liées au RGPD, proposent les mêmes services, notamment en matière de lutte contre la corruption, y compris pour les dispositifs d’alerte professionnelle.
A titre d’exemple, la start-up Data Legal Drive, spécialisée dans le domaine de la conformité au RGPD a élaboré, avec le cabinet d’avocats Vigo, un logiciel de conformité anti-corruption, développé et hébergé en France.
L’annonce de la mise en place de ce logiciel le 25 novembre 2021 marque une nouvelle ère, y compris pour les dispositifs d’alertes professionnelles. Il vient faciliter la mise en conformité des entreprises en leur apportant un véritable soutien. Celles-ci ont un besoin accru de digitalisation pour répondre aux obligations de préventions, de signalement et de traitements des risques posées dans la loi Sapin II. De telles plateformes numériques peuvent aider les entreprises concernées à remplir leurs obligations, à faire remonter et centraliser plus facilement les informations. Une fois ces informations répertoriées, de telles plateformes facilitent l’identification des conduites contraires notamment au code de conduite anti-corruption et accélèrent dès lors la mise en place de solutions pour y remédier. La digitalisation des procédures de conformité permet ainsi de révéler et de signaler plus facilement les éventuelles alertes ou risques relevés par les collaborateurs de l’entreprise. De tels logiciels automatisés, permettant de suivre de manière quasiment instantanée l’évolution du dispositif anti-corruption s’inscrivent résolument dans la compliance by design.

Ces logiciels soulignent la bonne mise en œuvre de processus de conformité au sein de l’entreprise, et ce de manière efficace, rapide et confidentielle. Grâce à de tels logiciels, la mise en place des dispositifs d’alertes sera facilitée.
Toutefois, qui dit automatisation des processus, notamment en ce qui concerne les dispositifs d’alerte professionnelle, dit risque accru pour les données personnelles et nécessité d’anticiper l’accès indirect qu’un tel traitement pourrait engendrer. Le fait qu’une start-up, spécialiste des logiciels de conformité au RGPD, mette en place un logiciel anti-corruption semble certainement être un gage de respect des données personnelles des personnes concernées par le lancement d’alertes professionnelles.
Reste néanmoins le risque non négligeable de cyberattaques des sous-traitants de données personnelles, qui se sont multipliées ces derniers mois en France et donc de fuites de données récoltées au sein des entreprises par son intermédiaire. Il est alors intéressant de comparer le bénéfice coûts/avantages de ce type de logiciel, entre la lutte accrue contre les comportements déviants au sein de l’entreprise et l’atteinte potentielle aux données personnelles et droits fondamentaux des salariés et collaborateurs.

Par Sarah Launay, étudiante de Master 2 en droit des affaires, avec la relecture assidue d’Isabelle Bufflier et Frédéric Munier, professeurs SKEMA BS

Voir tous les articles