Dans moins de trois mois, le Règlement européen sur la protection des données(1) entrera en vigueur et encadrera l’ensemble de vos pratiques en matière de traitement des données personnelles, notamment celles de vos salariés.
Quel sera son impact sur la procédure de recueil des signalements émis par les lanceurs d’alerte(2), obligatoire depuis le 1er janvier 2018 dans certaines entreprises ? Décryptage.
1. La mise en conformité du traitement des signalements émis par les lanceurs d’alerte au RGPD
> Rappel de vos obligations actuelles
Dans l’attente de l’entrée en vigueur du RGPD, le 25 mai prochain, la mise en place par votre entreprise d’un traitement automatisé des signalements émis par les lanceurs d’alerte doit obligatoirement faire l’objet, au préalable, d’une autorisation unique de la CNIL3.
***
Il sera rappelé notamment que :
• Sur les catégories de données à caractère personnel enregistrées :
Seules les catégories de données suivantes peuvent être traitées :
– identité, fonctions et coordonnées de l’émetteur de l’alerte professionnelle ;
– identité, fonctions et coordonnées des personnes faisant l’objet d’une alerte ;
– identité, fonctions et coordonnées des personnes intervenant dans le recueil ou dans le traitement de l’alerte ;
– faits signalés ;
– éléments recueillis dans le cadre de la vérification des faits signalés
– compte rendu des opérations de vérification ;
– suites données à l’alerte.
• Sur la durée de conservation des données à caractère personnel :
Les données relatives à une alerte considérée, dès son recueil par le responsable du traitement, comme n’entrant pas dans le champ du dispositif sont détruites ou archivées sans délai après anonymisation.
Lorsque l’alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, la suppression ou l’archivage après anonymisation intervient dans un délai de deux mois à compter de la clôture des opérations de vérification.
Lorsqu’une procédure disciplinaire ou des poursuites judiciaires sont engagées à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive, les données relatives à l’alerte sont conservées jusqu’au terme de la procédure.
Les données faisant l’objet de mesures d’archivage sont conservées, dans le cadre d’un système d’information distinct à accès restreint, pour une durée n’excédant pas les délais de procédures contentieuses.
• Sur l’information des utilisateurs potentiels du dispositif :
Au-delà de l’information collective (information-consultation des IRP) et individuelle (de chaque salarié) préalable à la mise en place du dispositif, et celle relative aux modalités de la procédure de recueil des signalements (cf infra), l’employeur précise notamment l’identification de l’entité responsable du dispositif, les objectifs poursuivis et les domaines concernés par les alertes, le caractère facultatif du dispositif, l’absence de conséquence à l’égard des employés de la non-utilisation de ce dispositif, les éventuels transferts de données à caractère personnel à destination d’un Etat non membre de la Communauté européenne, ainsi que l’existence d’un droit d’accès, de rectification et d’opposition au bénéfice des personnes identifiées dans le cadre de ce dispositif.
Il est clairement indiqué que l’utilisation abusive du dispositif peut exposer son auteur à des sanctions disciplinaires ainsi qu’à des poursuites judiciaires mais qu’à l’inverse, l’utilisation de bonne foi du dispositif, même si les faits s’avèrent par la suite inexacts ou ne donnent lieu à aucune suite, n’exposera son auteur à aucune sanction disciplinaire.
***
> Vos nouvelles obligations résultant du RGPD :
– L’analyse d’impact relative à la protection des données
A compter du 25 mai 20184, une toute autre logique entrera en vigueur, à savoir celle de la responsabilisation des entreprises et de la conformité des traitements tout au long de leur vie, en lieu et place des formalités déclaratives et autorisations préalables jusqu’alors applicables.
Le projet de loi du 13 décembre 2017, relatif à la protection des données personnelles5, prévoit ainsi l’abrogation de l’article 25 de la Loi informatique et libertés6 portant sur l’autorisation préalable du traitement.
Le dispositif d’autorisation unique de la CNIL, pour la mise en place d’un traitement automatisé des signalements émis par les lanceurs d’alerte, n’existera donc plus.
Se pose alors la question de la nécessité d’effectuer une « analyse d’impact relative à la protection des données »7 (AIPD), préalablement à la mise en place8 du traitement automatisé des signalements émis par les lanceurs d’alerte.
En effet, le RGPD prévoit, dans son article 35, que « lorsqu’un type de traitement […], et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l’impact des opérations de traitements envisagées sur la protection des données à caractère personnel […] ».
Afin de permettre au responsable du traitement de déterminer si ce dernier nécessite, au préalable, la réalisation d’une AIPD, plusieurs critères9 ont été définis par le GT2910 qui estime alors que « dans la plupart des cas, le responsable du traitement peut considérer qu’un traitement satisfaisant à deux critères nécessite une AIPD ».
Or, le traitement automatisé des signalements émis par les lanceurs d’alerte parait répondre à plusieurs de ces critères, à savoir :
- Données concernant des personnes vulnérables (salariés),
- Données sensibles ou données à caractère hautement personnel (infractions),
- Traitement excluant du bénéfice d’un droit ou contrat.Par ailleurs, les exceptions à la mise en place d’une AIPD, prévues par le RGPD, ne semblent pas pouvoir s’appliquer.En effet, si le RGPD prévoit qu’une AIPD n’est pas obligatoire lorsque le traitement répond à une obligation légale, ce qui est le cas de la procédure de recueil des signalements des lanceurs d’alerte dans les entreprises de 50 salariés au moins (cf infra), c’est à la condition notamment qu’une analyse d’impact relative à la protection des données ait été menée lors de l’adoption de la base juridique du traitement11, ce qui n’aurait pas été le cas lors de l’adoption de la loi Sapin II12.La mise en œuvre d’une analyse d’impact relative à la protection des données, préalablement à la mise en place du traitement automatisé des signalements émis par les lanceurs d’alerte, ou lors de l’évolution de celui-ci (s’il avait fait l’objet d’une autorisation préalable de la CNIL dans le cadre de l’actuelle législation) apparaît donc nécessaire afin de respecter les exigences du RGPD13.A noter, dans l’hypothèse où celle-ci indiquerait que le traitement automatisé des signalements émis par les lanceurs d’alerte présenterait un risque élevé et que ce dernier ne pourrait être suffisamment réduit par les mesures envisagées pour l’atténuer, que vous serez alors tenus de consulter la CNIL préalablement à la mise en place du traitement14.
Conseil : De manière générale, quel que soit le traitement de données personnelles envisagé, en cas de doute sur la nécessité de réaliser ou non une AIPD préalablement à sa mise en œuvre, il vous est conseillé de vous emparer de cet outil et d’organiser une telle analyse afin de vous assurer de respecter les règles en vigueur et d’ouvrir, le cas échéant, un dialogue avec la CNIL.
De plus, l’utilisation volontaire de cet outil ne pourra, comme le souligne le GT29, que vous « attirer une confiance accrue de la part des personnes concernées »15.
Remarque : La CNIL annonce qu’elle adoptera, « courant 2018 », la liste des traitements dont la mise en œuvre sera dispensée d’une AIPD préalable.
Il conviendra alors, à la parution de cette liste, d’en prendre connaissance afin de vérifier si le traitement automatisé des signalements émis par les lanceurs d’alerte est dispensé ou non, par la CNIL, d’une analyse d’impact préalable.
– Les droits de la personne visée par l’alerte
L’obligation d’information étant renforcée par le RGPD16, la question se pose de savoir si une information de la personne visée par une alerte doit obligatoirement être réalisée.
Il est à noter que le RGPD liste les exceptions à cette obligation d’information, et prévoit notamment qu’une telle information ne s’applique pas lorsqu’elle « est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ».
En pareil cas, le Règlement prévoit alors que « le responsable du traitement prend les mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles »17.
L’appréciation de l’obligation d’information devra donc être réalisée alerte par alerte, selon les circonstances entourant chacune et le risque qu’une telle information de la personne visée compromette gravement le traitement de l’alerte.
La CNIL prévoyait déjà, en 2005, que « lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves relatives à l’alerte, l’information de cette personne intervient après l’adoption de ces mesures »18.
Qu’en est-il, par ailleurs des droits d’opposition et à l’effacement prévus par le RGPD ?
Les dispositions encadrant l’exercice de ces droits prévoient les situations dans lesquels ils ne peuvent trouver à s’appliquer.
Ainsi :
- le responsable du traitement peut démontrer, face à l’opposition exercée par la personne visée par l’alerte, qu’ « il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice »19 ;
- quant au droit à l’effacement, il ne peut s’appliquer notamment lorsque le traitement est nécessaire « pour respecter une obligation légale » ou « à la constatation, à l’exercice ou à la défense de droits en justice », arguments que vous pourriez invoquer face à la demande d’ « oubli » formulée de la personne visée par l’alerte.
2. Retour sur la procédure de recueil des signalements émis par les lanceurs d’alerte
Pour rappel, la loi dite Sapin II20 a organisé une protection du lanceur d’alerte21 en instituant l’obligation pour certaines entreprises d’établir une procédure de recueil des signalements émis par les salariés mais également par des collaborateurs extérieurs ou occasionnels22.
Le décret d’application du 19 avril 201723, qui précise les modalités de mise en œuvre de cette obligation, est entré en vigueur le 1er janvier dernier. Retour sur celui-ci :
> Qui24?
Sont concernées par la mise en place d’une procédure de recueil des signalements émis par les lanceurs d’alerte, notamment les entreprises de 50 salariés au moins.
A noter : Ce seuil est calculé selon les modalités de droit commun inscrites aux articles L. 1111-2 et L. 1111-3 du Code du travail25. L’effectif doit, de plus, être atteint pendant douze mois consécutifs26.
> Quoi27 ?
La procédure de recueil des signalements émis doit préciser les modalités selon lesquelles l’auteur du signalement :
- Adresse son signalement au supérieur hiérarchique, direct ou indirect, à l’employeur ou au référent désigné (cf infra) (l’identité du référent susceptible de recevoir les alertes doit être mentionnée28);
- Fournit les faits, informations ou documents quel que soit leur forme ou leur support de nature à étayer son signalement lorsqu’il dispose de tels éléments ;
- Fournit les éléments permettant le cas échéant un échange avec le destinataire du signalement. Elle précise également les dispositions prises par l’entreprise :quant au droit à l’effacement, il ne peut s’appliquer notamment lorsque le traitement est nécessaire « pour respecter une obligation légale » ou « à la constatation, à l’exercice ou à la défense de droits en justice », arguments que vous pourriez invoquer face à la demande d’ « oubli » formulée de la personne visée par l’alerte.2. Retour sur la procédure de recueil des signalements émis par les lanceurs d’alerte
- Pour informer sans délai l’auteur du signalement de la réception de son signalement, ainsi que du délai raisonnable et prévisible nécessaire à l’examen de sa recevabilité et des modalités suivant lesquelles il est informé des suites données à son signalement ;
- Pour garantir la stricte confidentialité de l’auteur du signalement, des faits objets du signalement et des personnes visées, y compris en cas de communication à des tiers dès lors que celle-ci est nécessaire pour les seuls besoins de la vérification ou du traitement du signalement ;
- Pour détruire les éléments du dossier de signalement de nature à permettre l’identification de l’auteur du signalement et celle des personnes visées par celui-ci lorsqu’aucune suite n’y a été donnée, ainsi que le délai qui ne peut excéder deux mois à compter de la clôture de l’ensemble des opérations de recevabilité ou de vérification. L’auteur du signalement et les personnes visées par celui-ci sont informés de cette clôture.Par ailleurs, la procédure mentionne, le cas échéant, l’existence d’un traitement automatisé des signalements mis en œuvre après autorisation de la CNIL (cf infra).
> Comment ?
• Chaque entreprise détermine l’instrument juridique le mieux à même de répondre à l’obligation d’établir une procédure de recueil des signalements et l’adopte conformément aux dispositions législatives et réglementaires qui le régisse29.
Remarque : Les entreprises ont ainsi champ libre pour déterminer le support juridique le plus adapté (selon leurs pratiques internes et les procédures inhérentes à la mise en place et modification chaque support notamment) pour établir la procédure de recueil des signalements, qui pourra donc être définie au sein d’un accord collectif d’entreprise, par engagement unilatéral de l’employeur, par note de service, ou encore au sein d’une charte par exemple.
Dans un souci d’harmonisation et de coordination, il est possible, notamment au sein d’un même groupe de sociétés, de prévoir de n’établir qu’une seule procédure commune à plusieurs d’entre elles.
• Une fois la procédure de recueil des signalements établie, l’employeur est tenu d’informer ses salariés et collaborateurs extérieurs ou occasionnels de celle-ci.
Il procède alors à sa diffusion par tout moyen30 (notamment par voie de notification, affichage ou publication, le cas échéant sur le site internet de l’entreprise), dans des conditions propres à permettre à la rendre accessible.
Il est à noter que cette information peut être réalisée par voie électronique.
Remarque : Les collaborateurs extérieurs ou occasionnels de l’entreprise n’ayant pas forcément accès à l’affichage de l’entreprise, il peut être envisagé d’insérer une clause au sein du contrat les liant à l’entreprise permettant l’information requise sur la procédure de recueil des signalements.
En tout état de cause, il est nécessaire de s’aménager et de conserver la preuve de l’information donnée, dans l’hypothèse d’un éventuel contentieux.
> Avec qui ?
• La loi dite Sapin II prévoit que « le signalement d’une alerte est porté à la connaissance du supérieur hiérarchique, direct ou indirect, de l’employeur ou d’un référent désigné par celui-ci »31.
A noter que le référent peut être extérieur à l’entreprise32.
Ce référent peut ainsi être une personne physique mais également une entité de droit public ou de droit privé, dotée ou non de la personnalité morale, quelle que soit sa dénomination.
En toute hypothèse, il doit disposer d’une capacité suffisante pour exercer ses missions.
Remarques :
– Choix d’un référent salarié : l’employeur doit veiller à ce qu’il s’agisse d’un salarié disposant, de par son positionnement, de la compétence, de l’autorité et des moyens suffisants à l’exercice de ses missions. L’organisation de formations à l’égard du futur référent salarié et la rédaction d’un avenant ainsi que d’une fiche de poste définissant les missions confiées au salarié et ses obligations, en cette qualité, seront alors indispensables.
– Choix d’un référent extérieur : le référent doit être spécialement formé et il est conseillé de mentionner, au sein de son contrat, son obligation de confidentialité, ainsi que le nécessaire respect des durées de conservation et des règles de destruction ou de restitution aux termes de la prestation.
• Dans l’exercice de ses missions, le référent est tenu à une stricte obligation de confidentialité, tout comme les personnes appelées à connaître du signalement33.
Cette obligation de confidentialité34 porte sur l’identité des auteurs du signalement, des personnes visées par celui-ci et des informations recueillies par l’ensemble des destinataires du signalement.
Les éléments de nature à identifier le lanceur d’alerte ne peuvent ainsi être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de celui-ci.
Par ailleurs, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.
Remarque : La divulgation de ces éléments confidentiels est puni, pour les référents personnes physiques, de deux ans d’emprisonnement et de 30 000 euros d’amende et, pour les référents personnes morales, de 150 000 euros d’amende.
***
La conformité de vos traitements au RGPD est une nécessité, et apparaît également comme une véritable opportunité en termes de sécurisation de vos systèmes d’information ainsi que de culture et d’image de votre entreprise.
Il est important que cette mise en conformité intervienne par métiers et secteurs, et qu’une attention particulière soit portée notamment aux traitements liés aux Ressources humaines, service qui brasse de nombreuses données personnelles, dont des données dites sensibles, tout au long de la relation de travail avec les salariés.
Nous organisons le 13 mars prochain à Bordeaux une intervention sur le RGPD et notamment un Atelier RH auquel nous vous êtes naturellement conviés.
Nous vous invitons dans cette attente à consulter nos articles « Le nouveau Règlement européen sur la protection des données et le traitement des données des Ressources humaines RH »35 et « Responsabilité des acteurs du RGPD : qui sera sanctionné en cas de violation des données personnelles ? »36 sur notre blog.
1 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
2 Décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l’Etat : JORF n°0093 du 20 avril 2017
3 Autorisation AU-004 : Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, art. 25 ; Délibération n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004). A défaut : risque de sanctions pénale (300 000 euros d’amende et 5 ans d’emprisonnement) et de sanction administrative (avertissement, amende, etc.).
https://www.cnil.fr/sites/default/files/atoms/files/wp248_rev.01_fr.pdf
4 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données
5 http://www.assemblee-nationale.fr/15/projets/pl0490.asp
6 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
7 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 35
8 ou lors de l’évolution de celui-ci, s’il avait fait l’objet d’une autorisation préalable de la CNIL dans le cadre de l’actuelle législation
9 « Lignes directrices concernant l’analyse d’impact relative à la protection des données et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 » : évaluation ou notation, prise de décisions automatisée avec effet juridique ou effet similaire significatif, surveillance systématique, données sensibles ou données à caractère hautement personnel, données traitées à grande échelle, croisement ou combinaison d’ensemble de données, données concernant des personnes vulnérables, utilisation innovante ou application de nouvelles solutions technologiques ou organisationnelles, traitements excluant du bénéfice d’un droit ou d’un contrat,
10 Groupe de travail « article 29 » sur la protection des données : organe consultatif européen indépendant traitant des questions liées à la protection des données et au respect de la vie privée
11 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 35(10)
12 Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique : JORF n°0287 du 10 décembre 2016
13 Que l’entreprise le mette en place dans le respect de son obligation légale (effectif de 50 salariés au moins) ou qu’elle mette en place une procédure de recueil des signalements émis et le traitement automatisé de ces derniers sans y être tenue (effectif de moins de 50 salariés).
14 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 36
15 « Lignes directrices concernant l’analyse d’impact relative à la protection des données et la manière de déterminer si le traitement est « susceptible d’engendrer un risque élevé » aux fins du règlement (UE) 2016/679 »
16 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 14 « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée »
17 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 14 5. b)
18 Délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en oeuvre dans le cadre de dispositifs d’alerte professionnelle (décision d’autorisation unique n° AU-004)
19 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 21
20 Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique : JORF n°0287 du 10 décembre 2016
21 personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance (LOI n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, art. 6)
22 Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, art. 8 23 Décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l’Etat : JORF n°0093 du 20 avril 2017
24 mais également les personnes morales de droit public d’au moins 50 salariés, les administrations de l’Etat, les communes de plus de 10 000 habitants ainsi que les établissements publics de coopération intercommunale à fiscalité propre dont elles sont membres, les départements et les régions,
25 Décret n° 2017-564 du 19 avril 2017, art. 3. A savoir : Equivalent temps plein, exclusion faite de certains contrats (apprentis, contrat initiative- emploi, contrat d’accompagnement dans l’emploi, contrat de professionnalisation)
26 C. trav., art. L. 2311-2. Remarque : le décret n° 2017-564 du 19 avril 2017 fait référence à l’article L. 2322-2 du Code du travail, selon lequel le seuil d’effectif est apprécié pendant douze mois, consécutifs ou non, au cours des trois dernières années, article abrogé depuis le 1er janvier 2018. Des dispositions transitoires existant jusqu’en 2020, année butoir pour la mise en place du CSE au sein des entreprises concernées, une partie de la doctrine estime que tant que les IRP n’ont pas été renouvelées (et donc que le CSE n’a pas été mis en place), il convient d’apprécier le seuil des 50 salariés, pour la mise en place de la procédure de recueil des signalements, selon les modalités précédemment applicables. Dans l’incertitude, et compte tenu de l’abrogation de l’article L. 2311-2 du Code du travail, il est conseillé de retenir le seuil de 50 salariés sur 12 mois consécutifs conformément au nouvel article L. 2311-2.
27 Décret n° 2017-564 du 19 avril 2017, art. 5
28 Décret n° 2017-564 du 19 avril 2017, art. 4
29 Décret n° 2017-564 du 19 avril 2017, préambule
30 Décret n° 2017-564 du 19 avril 2017, art. 6
31 Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, art. 8
32 Décret n° 2017-564 du 19 avril 2017, art. 4
33 Décret n° 2017-564 du 19 avril 2017, art. 4
34 Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, art. 9
35 https://www.france-charruyer.fr/droit-des-donnees-personnelles/nouveau-reglement-europeen-gdpr-protection-traitement-donnees-ressources- humaines
36 https://www.france-charruyer.fr/droit-des-donnees-personnelles/responsabilite-acteurs-rgpd-sera-sanctionne-cas-de-violation-donnees- personnelles