Open
functional-file
Actualité
functional-clock
5 min de lecture
functional-calendar
7 septembre 2023
Le 24 juillet, la CNIL a annoncé avoir mis à jour son référentiel « alertes professionnelles » initialement publié en 2019. Emmanuel Daoud, avocat associé du cabinet VIGO et Ghita Khalid Rouissi, avocate collaboratrice, nous expliquent ce qui change.

La CNIL a publié une mise à jour de son référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles publié en 2019. Ce référentiel est ainsi mis à jour plus d’un an après la transposition en droit français de la directive européenne sur la protection des lanceurs d’alerte, ayant entrainé la modification de la loi dite Sapin II.

Il constitue une aide aux organismes ayant mis en place un dispositif d’alerte professionnelle et recueillant des données à caractère personnel dans ce cadre. Dépourvu de caractère contraignant, il est loisible aux organismes assujettis de s’en écarter. Il leur appartiendra néanmoins de veiller au respect des règles applicables en matière de protection des données personnelles et de réaliser une analyse d’impact relative au traitement des données personnelles ainsi que d’inscrire le dispositif de recueil des signalements dans leur registre des activités de traitement.

Le nouveau référentiel s’applique, comme l’ancien, aux entités privées ou publiques ayant mis en place un dispositif de recueil et de gestion internes des alertes professionnelles impliquant un traitement des données personnelles.

Il s’applique également aux tiers proposant des services d’externalisation de ces traitements, notamment la réception des signalements, leur traitement et leur conservation.

De nouvelles finalités de traitement

Si l’ancienne version du référentiel précisait que le traitement des données avait pour finalité le recueil et le traitement des alertes ou signalement visant à révéler un manquement à une règle spécifique, la nouvelle version du référentiel élargit le champ de ces finalités.

Pour rappel, le RGPD impose de définir de manière précise les objectifs poursuivis par le traitement des données personnelles.

Ainsi, la nouvelle version du référentiel rappelle que ce traitement peut également avoir pour finalité :

  • les vérifications, enquêtes et analyses nécessaires au traitement de l’alerte ;
  • la définition des suites à lui donner ;
  • la protection des personnes concernées ;
  • l’exercice ou la défense des droits en justice.

Ces précisions sont les bienvenues en ce qu’un organisme recevant une alerte professionnelle est dans l’obligation légale de la traiter et procède, de ce fait, à différentes vérifications et analyses impliquant la protection des personnes concernées et l’exercice éventuel d’actions en justice.

Sur ce point, il est intéressant de lire ce nouveau référentiel à la lumière du Guide sur les enquêtes internes anticorruption publié en mars 2023 conjointement par l’Agence française anticorruption (« AFA ») et le Parquet national financier (« PNF »).

La protection des données à caractère personnel constitue un impératif non seulement à l’occasion de la réception d’un signalement mais également lors de l’enquête interne qui en découlera nécessairement. Ainsi, le Guide publié par l’AFA et le PNF a rappelé les principes essentiels quant au traitement des données personnelles dans ce cadre, et notamment la nécessité de collecter les données au regard du but que leur traitement vise, en l’occurrence l’intérêt de l’enquête interne. En conséquence, à l’instar de l’AFA et du PNF, la CNIL vient rappeler et renforcer ce principe posé par le RGPD.

Communiquer les données factuelles en lien avec l'alerte

La CNIL détaille les modalités de traitement des données personnelles à chaque stade du traitement de l’alerte reçue. Ainsi, elle renouvelle sa recommandation aux responsables de traitement de rappeler aux auteurs du signalement, utilement dans la procédure d’alerte éthique publiée par l’organisme, de ne communiquer que les données factuelles présentant un lien direct avec l’objet de l’alerte.

L’organisme précisera également que les données communiquées ne doivent pas relever du secret de la défense nationale, du secret médical, du secret des délibérations judiciaires, du secret de l'enquête ou de l'instruction judiciaire ou du secret professionnel de l'avocat qui sont exclus du régime de l’alerte par la loi Sapin II.

En outre, la CNIL précise qu’en plus de s’assurer de la nécessité et de la pertinence des données collectées, l’organisme doit s’assurer que les données restent exactes et à jour pendant toute la durée du traitement.

Permettre aux auteurs d’émettre leurs signalements de manière anonyme

La version initiale du référentiel de la CNIL recommandait aux organismes assujettis de ne pas inciter les personnes ayant vocation à utiliser le dispositif d’alerte à le faire de manière anonyme. Dans sa nouvelle version du référentiel, la CNIL supprime cette recommandation et préconise aux organismes de permettre aux auteurs d’émettre leurs signalements de manière anonyme.

En effet, l’article 7-1 de la loi Sapin II tel que modifié par la loi dite Waserman  permet expressément aux entités assujetties de recevoir les signalements de manière anonyme. La CNIL ne pouvait donc plus maintenir sa position.

Il est à préciser que la Commission recommande alors aux organismes de s’abstenir de toute tentative de réidentification du lanceur d’alerte ou d’avoir recours à des procédés techniques rendant possible cette réidentification.

Cette recommandation est logique, puisqu’elle participe à la protection même des lanceurs d’alerte.

Les données relatives à l’alerte peuvent être conservées « en base active »

La CNIL apporte plus de précisions quant aux règles gouvernant la conservation des données.

Elle précise, en effet, que les données relatives à l’alerte peuvent être conservées « en base active », jusqu’à la prise de la décision définitive sur les suites à réserver à celle-ci.

Dans ce cadre, la CNIL indique que cette décision doit intervenir dans un « délai raisonnable », reprenant le terme adopté par l’article 4 du décret du 3 octobre 2023. Toutefois, la CNIL omet de préciser que ce délai ne peut être supérieur à 3 mois à compter de l’accusé de réception du signalement pour les entités de droit privé.

La CNIL rappelle par ailleurs que les données anonymisées peuvent être conservées sans limitation de durée.

L’information des personnes concernées

Les personnes concernées, soit toutes les personnes physiques dont les données à caractère personnel sont traitées dans le cadre du dispositif d’alerte professionnelle, y compris les facilitateurs, doivent être informées de l’existence du traitement, de ses caractéristiques, ainsi que de leurs droits d’accès, de rectification, d’effacement et du droit de déposer une plainte auprès de l’autorité compétente.

Pour le lanceur d’alerte, cette information peut être délivrée à l’occasion de l’envoi de l’accusé de réception dans un délai de sept jours à compter de la réception de l’alerte.

Quant à la personne visée par l’alerte, la CNIL précise que celle-ci doit être informée dans un délai raisonnable ne dépassant pas un mois.

  • functional-print
  • functional-linkedin
Aller plus loin
Mémento Concurrence Consommation
Ce Mémento vous donne les armes pour vous défendre contre vos concurrents, mais aussi pour promouvoir votre activité en respectant la loi
185,00 € TTC