La CNIL met à jour son référentiel « alertes professionnelles » suite à la transposition par la France de la directive européenne sur la protection des personnes qui signalent des violations du droit de l’Union. Ce document s’applique à l’ensemble des dispositifs d’alerte professionnelle, quel que soit le régime juridique qui leur est applicable.
Le nouveau référentiel est paru au JO du 21 juillet 2023 (Délibération n° 2023-064 du 6 juillet 2023, qui abroge l’ancien référentiel et adopte le nouveau).
La CNIL publie dans la foulée, sur son site internet, un questions/réponses sur ce nouveau référentiel, au sein duquel on peut relever notamment les points suivants:
La définition de l’alerte du référentiel est-elle la même que celle de la nouvelle loi Sapin 2 ?
Non. La définition des alertes professionnelles donnée par le référentiel diffère volontairement de celle de l’article 6 de la loi Sapin 2 modifiée.
En effet, de nombreux dispositifs d’alertes professionnelles (DAP) autres que le dispositif de droit commun dit d’« alerte professionnelle interne » peuvent être mis en œuvre, certains étant obligatoires, d’autres étant à la seule initiative de l’organisme lui-même.
Dans de tels cas, si la définition spécifique de ce qui est entendu par « signalement » peut varier, les traitements de données mis en œuvre par les organismes pour traiter des alertes présentent globalement les mêmes enjeux pour les droits et les libertés des personnes concernées.
Le référentiel propose donc un cadre unifié à l’ensemble des DAP en adoptant une définition large des traitements qui peuvent en bénéficier.
Le référentiel interprète-t-il la règlementation sur les lanceurs d’alerte (loi Sapin 2 modifiée notamment) ?
Non. La CNIL n’est compétente qu’en matière de traitement des données personnelles mais pas pour interpréter les autres lois et règlements. Le référentiel se concentre donc sur ces problématiques.
Chaque entité doit donc mener une expertise de sa situation juridique propose au regard de la réglementation en matière d’alertes (telle que l’étendue précise des obligations des organismes, l’articulation du régime des alertes avec le droit du travail, le droit de la procédure civile, etc.).
Pour aider les organismes de nombreux documents ont été produits sur ces questions, tels que :
- le guide du lanceur d’alerte publié en 2023 par le Défenseur des droits (DDD) ;
- les différents guides, fiches pratiques et recommandations publiés par l’Agence française anti-corruption (AFA).
Concrètement, quels sont les principaux changements du référentiel à retenir ?
La plupart des évolutions s’inspirent des modifications apportées au mécanisme d’alerte professionnelle de droit commun (« alerte interne » dans le vocabulaire retenu par la loi Sapin 2 modifiée) et sont généralisées à toutes les alertes (qu’elles correspondent, ou non, à celles de l’article 6 de la loi précitée).
Outre certaines modifications de forme ou terminologiques, on peut noter :
- un élargissement des catégories des personnes auxquelles l’accès au DAP doit être garanti par l’organisme mettant en place un DAP ;
- un élargissement des finalités du traitement des données collectées dans le cadre du DAP ;
- des nouveaux développements sur les différentes phases de traitement de l’alerte ;
- une modification importante des parties relatives à la durée de conservation des alertes (concernant notamment la liste des finalités pouvant justifier la conservation des données d’alerte) ;
- des nouveaux développements sur le traitement des signalements anonymes (notion propre à la loi Sapin 2 et qui doit être distinguée de celle d’« anonymisation des données » au sens du RGPD) ;
- enfin, des contenus nouveaux sur la possibilité de confier la gestion de certaines opérations de traitement à des tiers (s’agissant notamment de la distinction entre l’« externalisation » et la « mise en commun des ressources »).
