La CNIL a adopté le 6 juillet 2023 et mis en ligne un nouveau référentiel « alertes professionnelles » pour tenir compte des modifications apportées au régime des alertes professionnelles par la loi dite « Waserman » n°2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte.
Le précédent référentiel de la CNIL qui datait de juillet 2019 est abrogé.
La CNIL a également publié une série de Questions / Réponses pour accompagner la publication de son nouveau référentiel.
Par Philippe Suard
Le contexte légal issu de la loi Warserman de 2022
La loi « Waserman » du 21 mars 2022 et son décret d’application n°2022-1284 du 3 octobre 2022 ont modifié le dispositif relatif notamment aux alertes professionnelles résultant de la loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et la modernisation de la vie économique, dite « Sapin 2 ».
Il s’agit de la transposition en droit national de la directive européenne (UE) 2019/1937 du 23 octobre 2019 sur la protection des lanceurs d’alerte.
La définition du lanceur d’alerte a été complétée par cette loi (article 1) dans les termes suivants:
« Un lanceur d’alerte est une personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur un crime, un délit, une menace ou un préjudice pour l’intérêt général, une violation ou une tentative de dissimulation d’une violation d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, du droit de l’Union européenne, de la loi ou du règlement. Lorsque les informations n’ont pas été obtenues dans le cadre des activités professionnelles mentionnées au I de l’article 8, le lanceur d’alerte doit en avoir eu personnellement connaissance. »
Cette loi a surtout élargi la définition des alertes en précisant la distinction entre (article 3) :
- Le signalement interne (au sein de l’entreprise concernée : le supérieur hiérarchique ou le référent désigné) ;
- Le signalement externe (auprès d’une autorité compétente (par exemple la CNIL), du Défenseur des droits ou de l’autorité judiciaire) ;
- Le signalement public (divulgation publique, par voie de presse).
La protection dont bénéficie le lanceur d’alerte a également été modifiée et renforcée (article 6).
La loi Warseman prévoit notamment que les entreprises d’au moins 50 salariés doivent mettre en place une procédure de signalement et de traitement des alertes (article 3), le décret du 3 octobre 2022 ayant également adapté cette procédure (article 4)
Les principales modifications du nouveau référentiel
La CNIL a adopté son nouveau référentiel par une délibération n°2023-064 en date du 6 juillet 2023.
Ce nouveau référentiel intègre les nouveautés issues de la réforme de 2022 et s’adresse aux entreprises qui mettent en place un dispositif de recueil et de gestion internes des alertes professionnelles (DAP) impliquant un traitement de données à caractère personnel.
Dans le questions/réponses publié par la CNIL, le DAP est défini comme :
« Un outil permettant à une personne (salarié, cocontractant, tiers…) de porter à la connaissance d’un organisme une situation, un comportement ou un risque susceptible de caractériser une violation de la loi ou de règles éthiques adoptées par l’organisme en question, tel qu’un manquement à une charte ou à un code de conduite ».
Les principales modifications par rapport à la version précédente concernent :
- Une simplification de la partie « portée du référentiel » ;
- L’ajout de nouvelles finalités de traitement des données collectées dans le cadre du traitement d’une alerte ;
- De nouveaux développements sur les différentes phases de traitement de l’alerte et sur le traitement des signalements anonymes ;
- L’introduction de l’obligation d’informer le lanceur d’alerte non seulement de la réception de celles-ci, mais également des suites réservées à sa démarche ;
- Un élargissement des catégories des personnes auxquelles l’accès au DAP doit être garanti ;
- De nouveaux développements sur la possibilité d’externaliser la gestion des alertes internes vers des organismes tiers ;
- De nouvelles précisions relatives aux durées de conservation des données ;
- la mise à jour du tableau des mesures de sécurité à mettre en place suite à la publication d’une nouvelle version du guide de sécurité de la CNIL en avril 2023.
Le nouveau référentiel vise les entreprises qui :
- sont tenues de mettre en place un tel dispositif ;
- décideraient de le mettre en place, même si elles n’en ont pas l’obligation ;
- le mettent en œuvre pour se conformer à une obligation résultant d’un droit étranger.
Il s’agit de leur fournir un outil d’aide à la mise en conformité à la réglementation relative à la protection des données à caractère personnel (issue notamment du RGPD).
Comme le précédent, le nouveau référentiel n’a pas de valeur contraignante.
Les entreprises qui le respectent bénéficient d’une présomption de conformité au RGPD de leurs traitements de données personnelles relatifs aux alertes professionnelles.
Si les entreprises peuvent s’en écarter, elles doivent toutefois pouvoir s’en justifier et documenter notamment les mesures mises en œuvre pour garantir la conformité des traitements au RGPD.
Dans la FAQ qui accompagne la publication du nouveau référentiel, la CNIL indique qu’un DAP peut être :
- un portail intranet ou internet,
- une adresse électronique dédiée,
- une ligne téléphonique
Il s’ajoute aux autres possibilités de remontées d’alertes telle que la voie hiérarchique.
L’entreprise est libre dans le choix des moyens matériels et humains affectés au traitement d’alertes professionnelles, sauf dispositions légales spécifiques.
Quelle que soit l’architecture retenue, l’entreprise doit s’assurer du respect du RGPD.
Pour consulter le nouveau Référentiel :
Pour consulter le « Questions / Réponses » :
