Le 3 mars 2011, pour la première fois, la Commission Nationale de l'Informatique et des Libertés (CNIL) a autorisé deux sociétés (Casino Services et Randstad) à mettre en place un dispositif d'alerte professionnelle dédié aux plaintes et réclamations en matière de discriminations. Ces systèmes s'inscrivent dans le cadre du "Label diversité".
Ce Label a été créé par le décret n° 2008-1344 du 17 décembre 2008, il a pour objet de promouvoir les bonnes pratiques de recrutement, d'évolution professionnelle et de gestion des ressources humaines des entreprises ou des employeurs de droit public ou privé, en vue de développer la diversité et de prévenir les discriminations.
Le label diversité est délivré par un organisme de labellisation, après avis d'une commission de labellisation.
Les organismes qui candidatent pour l'obtention du "label diversité" doivent se conformer à un cahier des charges défini par l'AFNOR certification. Ce cahier des charges préconise la mise en place d'outils permettant d'"identifier les plaintes et réclamations internes ou externes" et, de manière générale, d'assurer la traçabilité des signalements des salariés victimes de discriminations.
Certains de ces dispositifs peuvent prendre la forme de traitements automatisés de données à caractère personnel susceptibles, du fait de leur portée, d'exclure des personnes du bénéfice de leur contrat de travail en l'absence de toute disposition législative ou réglementaire.
Dès lors, de tels dispositifs constituent des traitements relevant de l'article 25-I 4° de la loi "Informatique et Libertés" et doivent, à ce titre, être autorisés par la CNIL.
Ces dispositifs n'étant pas couverts par l'autorisation unique n°4 de la CNIL récemment modifiée, la CNIL a été saisie de deux demandes d'autorisation spécifiques.
Dans deux délibérations rendues, le 3 mars 2011, la Commission à autorisé ces traitements après avoir vérifié les garanties mises en œuvre et notamment :
- l'obligation pour le donneur d'alerte de s'identifier (pas d'alertes anonymes) ;
- l'information des salariés sur les finalités dispositif, les personnes habilités à traiter les alertes, ainsi que leurs droits d'accès et de rectification;
- le caractère facultatif et complémentaire du dispositif (pas d'obligation pour les salariés d'utiliser le dispositif d'alerte) ;
- le traitement confidentiel de l'identité du donneur d'alerte ;
- la conservation limitée des données ;
- les mesures de sécurité (confidentialité des informations et traçabilité des accès).
La CNIL a rappelé que ces dispositifs d'alerte devaient rester complémentaires et facultatifs. En effet, il est important de privilégier la ligne managériale et les voies légales d'alerte, notamment par l'intermédiaire des délégués du personnel et du Défenseur des Droits (HALDE).
Enfin, la CNIL a été particulièrement attentive à l'information faite auprès des représentants du personnel des organismes. Ces derniers ont émis un avis favorable à l'instauration d'un outil de signalement interne. Pour l'une des entreprises autorisées, un accord collectif groupe portant notamment sur la lutte contre les discriminations a d'ailleurs été conclu avec les organisations syndicales ce qui démontre la forte implication des partenaires sociaux. La mise en œuvre de ces dispositifs ne résulte donc pas d'une décision unilatérale de l'employeur.
La position de la CNIL était attendue car de nombreux organismes privés comme publics ont déjà adhéré au label. Selon les chiffres disponibles, leur nombre s'élèverait à 271.
Source : Commission Nationale de l'Informatique et des Libertés