Par Haas Avocats
Dans le cadre de la transposition de la loi du 21 mars 2022 la CNIL a actualisé le référentiel datant pourtant du 18 juillet 2019.Les principaux changements opérés par la CNIL concernent :
- l’élargissement des finalités poursuivies ;
- la définition de l’alerte anonyme ;
- la liste des personnes concernées par les traitements automatisés des alertes professionnelles ;
- le contenu et les modalités de transmission des informations qui leur sont dues ;
- les vigilances élémentaires à appliquer lors de l’externalisation des canaux de réception des alertes ; et
- la durée de conservation des données.
L’élargissement des finalités du traitement de signalement d’un manquement à une règle spécifique
Le précédent référentiel envisageait déjà la possibilité pour l’organisation de prévoir, en marge de toute obligation légale, un dispositif d’alerte ayant pour finalité le signalement d’un risque existant ou réalisé d’un comportement contraire aux valeurs décrites dans la charte éthique de l’organisation. Le nouveau référentiel de la Cnil prévoit désormais explicitement que les finalités suivantes peuvent être utilisées dans le cadre du traitement de signalement d’un manquement à une règle spécifique précitée : d’effectuer les vérifications, enquêtes et analyses nécessaires ;
- de définir les suites à donner au signalement ;
- d’assurer la protection des personnes concernées ;
- d’exercer ou défendre des droits en justice.
La définition de l’alerte anonyme
Contrairement à sa précédente version, il ressort de ce nouveau référentiel que l’alerte sera considérée comme anonyme dès lors qu’il n’est pas fait mention des informations directement identifiantes de l’émetteur de l’alerte (ex : nom, prénom, fonction, identifiants ou encore adresse électronique).
Il n’est donc plus nécessaire que ce dernier ne soit pas identifiable, notamment par le biais d’une enquête ou d’une recherche complémentaire.
Ainsi, l’anonymat mentionné dans ce nouveau référentiel doit être interprété comme du pseudonymat et non comme un réel anonymat au sens des dispositions du RGPD.
Il appartient donc aux différents organismes d’implémenter un dispositif d’alerte professionnel qui puisse permettre aux personnes physiques d’émettre des alertes sans avoir à transmettre des informations directement identifiantes les concernant.
Des personnes (nouvellement) concernées
Le nouveau référentiel inclut parmi les personnes concernées, les facilitateurs[1] et des personnes en lien avec le lanceur d’alerte[2].
A ce titre, les personnes concernées peuvent être internes ou externes à l’entreprise. La protection de leurs données personnelles doit être envisagée dès la conception de la procédure d’alerte professionnelle et en adéquation avec le principe de privacy by design/default[3].
L’information étendue des personnes concernées
Dès lors que les personnes concernées par le traitement automatisé des alertes professionnelles peuvent être extérieures à l’entreprise, le nouveau référentiel recommande au responsable de traitement d’afficher les mentions d’information requises par les articles 12 à 14 du RGPD sur son site Internet en intégrant, par exemple, le traitement à la politique de confidentialité.
Concernant le contenu de l’information à transmettre, il ressort du nouveau référentiel, que le lanceur d’alerte doit être informé :
- Des mesures envisagées ou prises pour évaluer l’exactitude des allégations ; et
- le cas échéant, des mesures envisagées ou prises pour remédier à l’objet du signalement.
En revanche, la nouvelle version du référentiel ne reprend pas le droit pour la personne visée par l’alerte de connaitre l’identité de son émetteur lorsqu’une sanction disciplinaire ou une procédure contentieuse est engagée à son encontre.
Enfin, la CNIL recommande de « rendre régulièrement compte de l’utilisation du dispositif d’alerte professionnel aux instances représentatives de personnel ».
L’externalisation encadrée de la procédure d’alerte professionnelle
La CNIL a réaffirmé la possibilité pour chaque organisation d’externaliser la réception ou le traitement des signalements (auprès d’un sous-traitant ou d’un responsable de traitement conjoint). Toutefois, elle rappelle que cette opération ne peut se faire qu’après avoir :
- analysé la faisabilité juridique d’une telle délégation ;
- vérifié que le prestataire présente des garanties suffisantes compte tenu de la législation applicable en matière de protection des données ;
- conclu un contrat de sous-traitance de données personnelles conforme aux dispositions de l’article 28 du RGPD.
Ainsi, les organisations pourront déléguer en partie ou en totalité la gestion de leurs signalements auprès :
- d’un cabinet d’avocat ;
- d’une plateforme spécialisée ;
- ou d’un fournisseur de services de messagerie électronique.
La durée de conservation des données personnelles
Le nouveau référentiel apporte davantage de clarté sur les durées de conservation des données personnelles recueillies et traitées dans le cadre du traitement des signalements. La précédente version précisait que la durée de conservation des données était fixée en tenant compte de la typologie de l’alerte.
Désormais, sauf disposition légale ou réglementaire contraire, le nouveau dispositif prévoit que les données peuvent être conservées :
- en base active jusqu’à la prise de la décision définitive sur les suites à réserver au signalement ;
- en archivage intermédiaire pour une période strictement nécessaire à la protection des personnes concernées par l’alerte ( à savoir l’émetteur, la personne visée ainsi que toutes les personnes mentionnées dans le signalement), à la réalisation d’enquêtes complémentaires, à la constitution de preuves en prévision d’un éventuel contrôle ou litige, ou encore à la réalisation d’audits de qualité des processus de traitement des signalements.
Ce nouveau référentiel constitue un corpus de recommandations qui permettent aux entreprises d’encadrer au mieux les alertes professionnelles qui leurs sont adressées.
***
Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données ou dans l’implémentation ou la mise à jour de votre procédure d’alerte professionnelle. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.
[1] Article 2 de la loi n° 2022-401 du 21 mars 2022, le facilitateur est une : « personne physique ou toute personne morale de droit privé à but non lucratif qui aide un lanceur d'alerte à effectuer un signalement ou une divulgation ».
[2] Il ressort des dispositions de la loi n° 2022-401 du 21 mars 2022 que ces personnes doivent être protégées de toute forme de représailles au même titre que le lanceur d’alerte.
[3] Article 25 du RGPD