CNIL : mise à jour du référentiel relatif aux dispositifs d’alerte professionnelle à la suite de la transposition de la directive européenne sur la protection des lanceurs d’alertes

La transposition en droit français de la directive européenne sur la protection des lanceurs d’alerte (Dir. [UE] 2019/1937 du Parlement européen et du Conseil du 23 oct. 2019 sur la protection des personnes qui signalent des violations du droit de l’Union) par la loi du 21 mars 2022 (Loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte) ainsi que par son décret d’application du 3 octobre 2022 (Décr. n° 2022-1284 relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d’alerte et fixant la liste des autorités externes instituées par la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte) introduit plusieurs modifications du dispositif de protection des lanceurs d’alerte instauré par la loi Sapin 2 du 9 décembre 2016 (Loi n° 2016-1691 du 9 déc. 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique ; ci-après la « loi Sapin 2 modifiée »). Afin de renforcer la protection des lanceurs d’alerte, ce nouveau dispositif prévoit notamment un élargissement de la définition des lanceurs d’alerte, l’extension de certaines protections offertes aux lanceurs d’alerte aux personnes en lien avec le lanceur d’alerte en créant un statut pour les « facilitateurs » qui aident à effectuer un signalement ainsi qu’un élargissement des canaux de signalement.

Ces modifications ont rendu nécessaire la modification du précédent référentiel qui avait été adopté par la CNIL le 18 juillet 2019 afin de remplacer l’autorisation unique AU-004 qui n’avait plus de valeur juridique à la suite de l’entrée en vigueur du Règlement général sur la protection des données (RGPD) (Règl. [UE] 2016/679 du Parlement européen et du Conseil du 27 avr. 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la dir. 95/46/CE).

Une aide pour assurer la mise en conformité des dispositifs d’alerte au RGPD

Les dispositifs d’alerte professionnelle impliquent quasi systématiquement le recueil de données à caractère personnel en particulier l’identité du lanceur d’alerte et/ou de celle des personnes mentionnées ou visées par l’alerte.

Un tel recueil de données à caractère personnel constitue un « traitement » au sens de l’article 4(2) du RGPD. Par conséquent, les organismes privés et publics mettant en place un dispositif de recueil et de gestion des alertes professionnelles doivent s’assurer de sa conformité aux dispositions du RGPD et de la loi du 6 janvier 1978 « Informatique et libertés ». La mise en place d’un dispositif d’alerte professionnelle peut résulter d’une obligation légale (art. 8 de la loi Sapin 2 pour les entreprises employant au moins cinquante salariés par exemple, ou art. 17 de la loi Sapin 2 pour les entreprises sujettes à l’obligation de mettre en place un programme de conformité anticorruption, etc.), ou de la volonté de l’entité concernée.

Le référentiel publié par la CNIL a pour objectif d’aider ces organismes à...