A la suite de l’adoption de la loi « Waserman » du 21 mars 2022 renforçant la protection des lanceurs d’alerte et de son décret d’application du 3 octobre 2022, la Commission nationale de l’informatique et des libertés (Cnil) a publié un projet destiné à mettre à jour son référentiel relatif au dispositif d’alertes professionnelles.
A qui s’adresse le référentiel sur les alertes professionnelles ?
Ce référentiel concerne les dispositifs d’alerte internes mis en place par les organismes privés ou publics, en application d’une obligation légale ou d’un code éthique sur une base volontaire.
A l’instar de tous les référentiels émis par la Cnil, ce référentiel n’est pas contraignant mais constitue un guide de conformité ainsi qu’une aide à la réalisation d’une analyse d’impact relative à la protection des données (AIPD).
Quelles sont les finalités et les bases légales de traitement des données ?
De manière générale, le traitement de données à caractère personnel dans le cadre d’un dispositif d’alerte a pour objectif de recueillir et traiter les alertes. Néanmoins, une attention particulière devrait être portée à la description des finalités lorsqu’il s’agit d’un dispositif hybride. Il s’agit d’un dispositif ayant pour objet de répondre à plusieurs finalités distinctes, à savoir d’une part, les alertes résultant des dispositions légales (loi Sapin II, devoir de vigilance) et d’autre part, celles résultant de l’application d’un code éthique.
Ainsi, la base légale dépend du caractère obligatoire ou non du dispositif d’alerte pour l’organisme concerné. Dès lors que le dispositif est mis en place sur une base volontaire, la Cnil recommande de retenir l’intérêt légitime. Dans ce contexte, une mise en balance des intérêts devrait être réalisée par l’organisme.
Qui sont les personnes concernées ?
Plusieurs catégories de personnes peuvent être potentiellement concernées dans le cadre des traitements mis en œuvre en lien avec le dispositif d’alerte. A titre d’exemple, sont concernés :
- les salariés, associés, membres de l’organe d’administration, de direction ou de surveillance de l’organisme concerné,
- les collaborateurs, clients et fournisseurs extérieurs et occasionnels lorsqu’il s’agit des personnes physiques,
- les facilitateurs personnes physiques,
- les témoins entendus dans le cadre de l’enquête,
- les personnes visées dans l’alerte.
Quelles sont les modalités d’information des personnes concernées ?
La Cnil distingue l’information générale au moment de la mise en place du dispositif d’alerte et l’information spécifique du lanceur d’alerte avant le recueil de l’alerte.
Concernant l’information générale lors du déploiement du dispositif d’alerte, elle est destinée à l’ensemble des personnes qui sont potentiellement concernées par les traitements à venir. La Cnil recommande la fourniture de plusieurs éléments, en plus de ceux exigés par les articles 13 et 14 du Règlement général sur la protection des données. Elle préconise, par exemple, que l’information précise le fonctionnement du dispositif, le caractère facultatif de son utilisation pour le lanceur d’alerte ou encore le fait que son utilisation abusive peut conduire à des sanctions.
Concernant l’information spécifique du lanceur d’alerte, celle-ci doit être fournie avant toute saisine d’informations par le lanceur d’alerte. A ce titre, la Cnil précise que le responsable du traitement peut subordonner l’accès au dispositif d’alerte à la confirmation par le lanceur d’alerte qu’il a pris connaissance de l’information relative au traitement de ses données à caractère personnel, via une case à cocher par exemple.
Quels sont les droits des personnes concernées ?
Comme pour tous les traitements, les droits des personnes concernées par le dispositif d’alertes s’exercent dans les conditions prévues par le RGPD. A titre d’exemple, dès lors que le dispositif d’alerte est mis en place sur le fondement d’une obligation légale, le droit d’opposition n’est pas applicable.
La Cnil précise également que le droit de rectification ne doit pas permettre « la modification rétroactive des éléments contenus dans l’alerte ou collectées lors de son instruction ».
Par ailleurs, la Cnil prend en compte dans son projet de référentiel les évolutions relatives à la loi Sapin II en élargissant le bénéfice du droit d’accès aux facilitateurs et aux personnes protégées par ricochet.
Sans oublier…
Le responsable du traitement doit veiller au respect du principe de minimisation de données en rappelant aux lanceurs d’alerte que seules les données factuelles et relatives à l’alerte doivent être communiquées.
Enfin, une attention particulière devrait être portée au contrat conclu avec le fournisseur de la plateforme d’alerte en ligne et plus particulièrement aux garanties que ce fournisseur présente en termes de protection des données à caractère personnel (gestion des droits d’habilitation, chiffrement, etc.).