Fichier de données personnelles visant la prévention du risque

La mise en place d’un fichier de données personnelles visant la prévention du risque de corruption des fournisseurs est légale mais nécessite une déclaration CNIL. En effet, l’article 25-I-4 de la loi du 6 janvier 1978 prévoit que sont soumis à autorisation préalable les traitements automatisés susceptibles, du fait de leur nature, de leur portée ou de leurs finalités, d’exclure des personnes du bénéfice d’un droit, d’une prestation ou d’un contrat en l’absence de toute disposition législative ou réglementaire.

Cette autorisation CNIL est impérative pour tout traitement consistant à mettre en œuvre une procédure de vérifications portant sur les personnes avec lesquelles elle le responsable du traitement est en relation commerciale : les co-contractants, fournisseurs ou prestataires (sauf pour les biens de consommation courants ou commodities du type énergie). Cela inclut notamment les professionnels de santé qui, par exemple, participent aux études cliniques.

Intérêt légitime de lutte contre la corruption

De nombreuses sociétés peuvent être dans l’obligation de procéder à ce type de traitements de données personnelles, entre autres, en application du « Foreign Corrupt Practices Act » américain du 20 décembre 1977 ou du « UK Bribery Act », l’objectif étant de lutter contre la corruption et le trafic d’influence au sens des articles 435-3 et suivants du code pénal.

A titre d’exemple, la loi britannique « UK Bribery Act » (UKBA) du 8 avril 2010 impose la mise en œuvre de procédures de contrôles préalables (« due diligence ») dans les entreprises multinationales dans le domaine de la lutte contre la corruption. Les sociétés françaises sont soumises à cette législation dès lors qu’elles ont une activité, même partielle, sur le territoire du Royaume-Uni, ou qu’elles sont partenaires de sociétés soumises à l’UKBA.

Le renforcement des législations européennes et internationales en matière de lutte contre la corruption, en particulier dans le cadre des relations avec des agents publics, conduit également les sociétés à mettre en place un système de détection et de prévention.

Quel type de système adopter ?

Le traitement de données personnelles envisagé doit viser à identifier les transactions réalisées avec d’autres professionnels présentant un risque de corruption par le biais d’un système reposant sur une évaluation progressive adaptée au risque encouru. En fonction des résultats d’un premier screening, si une alerte est remontée par l’outil, des vérifications complémentaires peuvent être réalisées pour identifier les « faux positifs ».

Le traitement portera essentiellement sur des entités personnes morales et de manière ponctuelle sur une catégorie limitée de personnes physiques (« hommes clefs »), avec lesquelles la société est en relation commerciale (co-contractants, fournisseurs ou prestataires ..).

Dans le cadre de la procédure de « due diligence », la société devra identifier parmi les co-contractants les personnes politiquement exposées (PPE) et celles qui y sont étroitement liées au sens de l’article R. 561-18 du code monétaire et financier et de la Directive européenne n°2015/849. Il est procédé à des vérifications sur les personnes identifiées comme PPE afin d’éviter les conflits d’intérêts entre un consultant commercial et un donneur d’ordre, potentiellement générateurs d’actes de corruption. La procédure d’identification des risques liés à la corruption est graduée en fonction du risque détecté.

Contrat de sous-traitance

Dans le cas général, la société devra recourir à un prestataire externe. Les éléments d’information utilisés par ce prestataire pourront procéder de sources officielles nationales et internationales, d’informations issues de la presse, de décisions de justice ou d’autorités publiques.  L’outil fourni par le prestataire de service est le plus souvent configuré de telle sorte que la société ne puisse disposer que des informations spécifiques à la lutte contre la corruption.

Conséquences des alertes

Les informations détectées lors de ces opérations de vérification peuvent conduire la société à limiter la relation commerciale à un périmètre donné ou à suspendre la transaction engagée avec les personnes concernées, après consultation des listes des personnes faisant l’objet de sanctions financières ou de mesures de restriction fournies par le prestataire.

A ce titre, la CNIL considère que les vérifications portant sur ces listes doivent procéder d’une obligation légale et ne doivent porter que sur une catégorie de personnes déterminée au regard du risque encouru conformément au principe de proportionnalité. Aucune décision de refus d’entrée en relation commerciale ne peut être prise sur la base des seuls éléments d’information recueillis par le biais de l’outil utilisé, qui devront faire l’objet d’un examen individuel, permettant de lever les cas d’homonymies, après collecte, le cas échéant, d’informations complémentaires.

Sont ainsi légitimes, les vérifications portant sur les listes des personnes faisant l’objet de sanctions financières ou de mesures de restriction appliquées en France et dans le pays d’établissement de la maison mère et émises par une autorité publique dès lors que la société est tenue de les appliquer. Dans ces conditions, le traitement en cause pourra répondre à l’intérêt légitime du responsable du traitement conformément à l’article 7-5° de la loi du 6 janvier 1978.

Nature des données traitées

Dans le cadre de la procédure de vérification préalable d’intégrité du partenaire commercial, la société autorisée par la CNIL pourra collecter les données suivantes, concernant les personnes avec lesquelles elle est en relation commerciale :

-Nom et prénom ;
-Sexe
-Nationalité
-Date et lieu de naissance (gestion des homonymies) ;
-Situation professionnelle et adresse ;
-L’existence ou l’absence d’occurrence dans la base de données du prestataire ;
-Données de connexion à l’outil de screening.

Le résultat positif ou négatif du screening pourra être partagé au sein d’un groupe.

Destinataires du screening

Les opérations de vérification réalisées en France doivent être supervisées par les seules personnes habilitées, à savoir les managers, responsables juridiques, responsables de la conformité et auditeurs de la société.

Question du droit d’accès

Les personnes concernées doivent être informées de la politique menée par la société en matière de lutte contre la corruption via une mention informative sur les courriers et documents remis aux co-contractants. Les personnes concernées pourront alors exercer leurs droits d’accès, de rectification et d’opposition auprès de la société.

Sécurité du traitement de données personnelles

Comme pour tout traitement, des mesures de sécurité devront être prises afin de préserver la sécurité et la confidentialité des données et, notamment, empêcher que des tiers non autorisés y aient accès. A ce titre, les accès au système d’information et les opérations effectuées sur les supports d’enregistrement des données devront être tracés (avec réévaluation régulière des risques).

Durée de conservation des données

Il n’existe pas de durée déterminée et fixe de conservation des données. A titre d’exemple, la CNIL a autorisé un traitement de lutte contre la corruption assorti d’une durée d’archivage de dix ans pour pouvoir justifier, le cas échéant, des diligences auprès des autorités compétentes.