Par une délibération du 6 juillet 2023, la CNIL a mis à jour son référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles, afin de tenir compte des ajustements apportés par la loi du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte et de son décret d’application du 3 octobre 2022. Le référentiel qu’elle avait établi en 2019 est abrogé.
Ce référentiel s’adresse :
– aux organismes privés ou publics qui sont tenus ou décideraient de mettre en œuvre un dispositif de recueil et de gestion internes des alertes professionnelles (DAP) impliquant un traitement de données à caractère personnel, quelle que soit leur taille et qu’ils soient ou non membres d’un groupe de sociétés national ou international ;
– aux différentes entités tierces proposant des services liés à la réception, au traitement et à la conservation des alertes.
Sont concernés les dispositifs d’alerte dans le cadre des articles 6 et suivants de la loi Sapin II (lanceur d’alerte), les alertes en cas de faits de corruption ou de trafic d’influence (Loi Sapin II, article 17) et tout autre dispositif d’alerte interne qui serait mis en place sans contrainte réglementaire ou pour se conformer à une obligation résultant du droit étranger.
Dans sa délibération, la CNIL précise notamment que les principes de pertinence et de minimisation des données doivent être respectés depuis le recueil de l’alerte jusqu’aux suites qui lui sont données, en passant par son instruction. Ainsi, le responsable de traitement doit veiller à ce que seules les données nécessaires à la poursuite des finalités du traitement soient effectivement collectées, traitées et conservées.
Par ailleurs, la CNIL préconise la mise en place de dispositifs de recueil et de gestion internes des alertes professionnelles permettant aux auteurs d’émettre leurs signalements de manière anonyme et de poursuivre les échanges en conservant leur anonymat (via par exemple la fourniture d’une adresse électronique ne permettant pas leur identification).
S’agissant de la durée de conservation des données collectées, les données relatives à une alerte professionnelle peuvent être conservées en base active jusqu’à la prise de la décision sur les suites à réserver à celle-ci, dans un délai raisonnable et pourront ensuite être conservées sous forme d’archives intermédiaires le temps strictement proportionné à leur traitement et à la protection des personnes concernées.
Lorsqu’une alerte est émise, un accusé de réception de celle-ci doit être fourni au lanceur d’alerte pour permettre à ce dernier de bénéficier, le cas échéant, d’un régime de protection spécifique et le responsable de traitement doit informer la personne visée par une alerte, dans un délai d’un mois à la suite de l’émission de l’alerte, sauf exception dûment justifiée ou lorsque cette information est susceptible de compromettre gravement la réalisation des objectifs dudit traitement.
Enfin, ce référentiel n’ayant pas de valeur contraignante, les organismes peuvent s’en écarter. Il leur appartient néanmoins de justifier et de documenter ce besoin et les mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.
