La lettre d'Option Droit & Affaires

Compliance

Loi Sapin II et RGPD, deux corpus réglementaires à la mise en œuvre délicate

Lettre Option Droit & Affaires - 15 juillet 2020 - Nicolas Brooke & Mathilde Gérot

Alors que les enquêtes internes connaissent un développement important au sein des entreprises françaises notamment du fait de l’adoption de la loi Sapin 2 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique entrée en vigueur le 1er juin 2017, cet exercice particulier doit, depuis le 25 mai 2018, également être mené en conformité avec le Règlement général sur la protection des données (RGPD). Deux années après son entrée en application, le moment est venu de dresser un bilan des zones de friction qui peuvent exister entre les objectifs légitimes recherchés par les entreprises au moyen du recours à une enquête interne, et l’impératif de protection des données personnelles qui s’imposent à elles aux termes du RGPD.

 

Par Nicolas Brooke associé, et Mathilde Gérot, avocate, Signature Litigation

La loi Sapin 2 et le RGPD sont à envisager de manière globale par les entreprises en tant que socle général de la compliance. Tout d’abord, elles poursuivent un objectif commun, à savoir assurer un comportement éthique dans l’entreprise, à tous ses échelons. Ensuite, elles impliquent le recours à des méthodes similaires, à savoir la collecte d’informations relatives à des faits illicites qui ont pu se produire dans le cadre des activités de l’entreprise et leur analyse, puis la détermination des mesures de mise en conformité qui s’imposent le cas échéant, voire d’actions judiciaires à envisager et enfin, la documentation des mesures adoptées aux fins d’en justifier en cas de contrôle de l’autorité compétente. Nous constatons toutefois qu’en pratique, l’articulation de la mise en œuvre d’enquêtes internes et du RGPD n’est pas toujours aisée. En effet, il s’avère parfois délicat de trouver l’équilibre entre le respect de la vie privée des personnes d’une part, et la nécessité de mener à bien une enquête aux fins de mettre un terme à des comportements inappropriés d’autre part. Ces zones de tension sont particulièrement exacerbées dans trois domaines :

- l’information des personnes et l’accès à leurs données personnelles confrontées à la confidentialité de l’enquête ;

- la détermination de l’étendue de l’enquête au regard du principe de minimisation des données personnelles ;

- et l’appréciation du caractère proportionnel de la durée de conservation des informations, en ce compris des données personnelles, dans le cadre d’une telle enquête.

Concilier confidentialité de l’enquête et droit à l’information des personnes

Chacun dispose du droit à l’information prévu par les articles 13 et 14 du RGPD. Ce droit constitue l’émanation du principe de transparence qui irrigue le RGPD et plus généralement, le droit relatif à la protection des données personnelles. Son objet est de permettre à toute personne d’être informée, par le responsable du...

La suite de cet article est réservée aux abonnés

Vous avez déjà un compte

Pour lire la suite de cet article, connectez-vous à votre compte

Mot de passe oublié

En cas de problème avec votre compte abonné, merci de contacter abonnement(at)optionfinance.fr

Pas encore abonné ?

Découvrez toutes nos offres d'abonnement et accédez à nos articles et dossiers en ligne.

S'abonner