La CNIL a publié un référentiel relatif aux dispositifs d’alertes professionnelles le 10 décembre 2019.
Un référentiel relatif aux dispositifs d’alertes professionnelles, pour quoi faire ?
Ce référentiel vient remplacer l’autorisation unique AU-004 (qui n’a plus de valeur juridique depuis l’entrée en vigueur du RGPD) et constitue également un « outil de référence » pour la réalisation d’une analyse d’impact relative à la protection des données personnelles (« AIPD »).
Ce référentiel actualise et consolide la doctrine de la CNIL concernant les alertes professionnelles, en intégrant les évolutions liées à l’entrée en application du RGPD et à la modification de la loi « Informatique et Libertés ».
Il anticipe par ailleurs certaines évolutions issues de la directive européenne relative à la protection des lanceurs d’alerte dont le texte a été adopté par le Conseil de l’Union européenne le 7 octobre 2019, pour une application effective prévue à partir de 2021.
Quels sont ses principaux apports ?
Parmi les évolutions majeures du référentiel figurent :
- l’encadrement des dispositifs résultant à la fois d’une obligation légale (loi dite « devoir de vigilance », loi « Sapin II », etc.), et ceux mis en place à la seule initiative du responsable de traitement (notamment les alertes dites « éthiques ») ;
- l’instauration d’un cadre unique pour l’ensemble des dispositifs d’alerte, qui améliore leur lisibilité pour les personnes concernées ;
- l’ajout de précisions sur les durées de conservation des données traités dans le cadre des dispositifs d’alertes professionnelles.
La CNIL rappelle également que la mise en place d’un tel dispositif vient en complément des autres possibilités de remontées d’alertes (comme la voie hiérarchique ou le droit d’alerte des représentants du personnel) et ne doit avoir ni pour objet ni pour effet d’exonérer l’employeur de ses obligations (telle que celle de prévenir les risques psychosociaux), et du respect de la règlementation qui lui est applicable (droits et libertés fondamentaux, Code du travail, etc.).
Une FAQ accompagne également ce référentiel : Est-il obligatoire de consulter les instances représentatives du personnel (IRP) avant la mise en place d’un dispositif d’alertes professionnelles ? Que faire d’une alerte qui ne rentre pas dans le périmètre du dispositif d’alerte ? Un DRH, un responsable hiérarchique, un membre d’un comité d’éthique, d’une organisation syndicale, peut-il avoir accès au dossier d’une alerte ? …
Autant de précisions utiles en pratique pour permettre aux opérationnels RH d’assurer la conformité de leurs dispositifs d’alertes professionnelles.
