Le 10 décembre 2019, la Cnil publiait un référentiel relatif aux dispositifs d’alertes professionnelles (DAP). Comme sur de nombreux sujets, une prise de position claire de la Cnil était attendue depuis la caducité de l’autorisation unique lors de l’entrée en application du RGPD.
Ce référentiel a pour objectif affiché de pallier cette carence et de consolider la doctrine de la Cnil. Ce référentiel est adressé aux organismes publics comme privés susceptibles de traiter des données à caractère personnel dans le cadre de tout type de dispositif d’alertes professionnelles.
Soulignons d’ores et déjà que le référentiel publié par la Cnil devra éventuellement être révisé à la lumière des dispositions transposant la directive 2019/1937 du 23 octobre 2019 sur la protection des personnes qui signalent des violations du droit de l’Union.
Une typologie des dispositifs d’alertes selon les traitements envisagés
Tout traitement de données à caractère personnel doit répondre à un objectif précis et justifié au regard des missions et des activités de l’organisme. Dans le cadre des dispositifs d’alertes professionnelles, les traitements de données à caractère personnel sont mis en œuvre afin de recueillir et traiter les alertes ou signalements visant à révéler un manquement à une règle spécifique.
Ces dispositifs peuvent prendre différentes formes (portail intranet, extranet, adresse électronique et ligne téléphonique dédiés aux signalements). Ils peuvent permettre la remontée de tout type de signalement, répondant à diverses finalités qu’il convient de définir.
La définition des finalités de ces traitements devra tenir compte de la spécificité du dispositif d’alerte mis en place. En effet, la Cnil distingue deux types de finalités pour lesquels les dispositifs peuvent être envisagés par les organismes.
Les dispositifs d’alertes professionnelles issus d’une obligation légale
Un organisme peut être obligé de mettre en œuvre un dispositif d’alertes professionnelles en vertu d’une obligation légale qui lui impose de recueillir les signalements. Ces obligations peuvent découler de différentes lois comme la loi dite « Sapin II », la loi relative au devoir de vigilance ou, prochainement et sous réserve des transpositions en droit national, en vertu de la directive 2019/1937 du 23 octobre 2019 précitée.
La source de l’obligation légale imposant le recueil du signalement va en effet définir tant les catégories de personnes autorisées à émettre une alerte que les violations qu’il leur sera permis de signaler.
A titre d’illustration, le tableau comparatif ci-dessous permet d’appréhender les distinctions entre les dispositions de la loi Sapin II et de la directive adoptée le 23 octobre dernier.
[table id=1 /]
Les dispositifs d’alertes professionnelles adoptés volontairement
Un organisme peut décider de la mise en place d’un dispositif d’alertes professionnelles de manière volontaire, en dehors de toute obligation légale, sur le fondement de règles dites « éthiques » adoptées par l’organisme lui-même.
Selon le référentiel de la Cnil, pour être valables, ces règles devront avoir été codifiées dans un code de conduite ou une charte éthique, respectant l’ensemble du cadre juridique existant. En outre, l’existence et le caractère opposable de ces règles internes devront avoir été préalablement portés à la connaissance de l’ensemble des personnes concernées.
Les dispositifs d’alertes professionnelles hybrides
Les organismes peuvent mettre en œuvre un dispositif unique d’alertes professionnelles destiné à recueillir tant les signalements prévus par la loi, que les signalements établis sur le fondement d’une charte ou d’un code éthique. Dans cette hypothèse, une attention particulière devra être accordée à la définition de toutes les finalités en distinguant clairement les signalements résultant d’une disposition obligatoire de ceux résultant de règles adoptées volontairement.
Mathias Avocats se tient à votre disposition pour vous accompagner dans la conception et la mise en œuvre de cette procédure de recueil des alertes, notamment au regard de la réglementation relative à la protection des données à caractère personnel.