Données personnelles : dispositif d’alerte professionnelle en application de la loi Sapin 2

La loi n° 2016-1691 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Sapin II » a été adoptée le 9 décembre 2016.

Aux termes de l’article 8-III de la loi, des procédures appropriées de recueil des signalements devront être mises à disposition des salariés, collaborateurs extérieurs ou occasionnels par toute personne morale de droit public ou personne de droit privé d’au moins cinquante salariés. Antérieurement, seules les entreprises françaises réalisant des opérations avec les États-Unis devaient constituer un système de contrôle interne qui inclut des dispositifs d’alerte en application de la loi Sarbanes-Oxley de 2002.

L’entrée en vigueur de cette nouvelle obligation reste encore incertaine. Il est en effet précisé par l’article 8-III de la loi que les conditions dans lesquelles la procédure de signalement doit être mise en œuvre seront déterminées par décret du Conseil d’Etat.

Dans l’intervalle, les sociétés de plus de 50 salariés peuvent se familiariser avec l’autorisation unique de la Cnil sur les dispositifs d’alerte professionnelle, AU-004 pour anticiper la mise en place d’un dispositif d’alerte en conformité avec la loi Informatique et libertés.

Loi n° 2016-1691 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite « Sapin II »