- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Election
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit et liberté fondamentaux
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Mariage - Divorce - Couple
- > Procédure civile
- > Responsabilité
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Circulation et transport
- > Criminalité organisée et terrorisme
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Informatique
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Travailleurs handicapés
- Avocat
Article

CNIL : mise à jour du référentiel relatif aux dispositifs d’alerte professionnelle à la suite de la transposition de la directive européenne sur la protection des lanceurs d’alertes
CNIL : mise à jour du référentiel relatif aux dispositifs d’alerte professionnelle à la suite de la transposition de la directive européenne sur la protection des lanceurs d’alertes
Le 24 juillet 2023, la Commission nationale de l’informatique et des libertés (CNIL) a publié un nouveau référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alerte, afin de tenir compte des évolutions du droit applicable en matière de signalements professionnels.
par Blanche Balian et Laetitia Ghebali, Avocates/of counsel, Stephenson Harwoodle 15 septembre 2023

La transposition en droit français de la directive européenne sur la protection des lanceurs d’alerte (Dir. [UE] 2019/1937 du Parlement européen et du Conseil du 23 oct. 2019 sur la protection des personnes qui signalent des violations du droit de l’Union) par la loi du 21 mars 2022 (Loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte) ainsi que par son décret d’application du 3 octobre 2022 (Décr. n° 2022-1284 relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d’alerte et fixant la liste des autorités externes instituées par la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte) introduit plusieurs modifications du dispositif de protection des lanceurs d’alerte instauré par la loi Sapin 2 du 9 décembre 2016 (Loi n° 2016-1691 du 9 déc. 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique ; ci-après la « loi Sapin 2 modifiée »). Afin de renforcer la protection des lanceurs d’alerte, ce nouveau dispositif prévoit notamment un élargissement de la définition des lanceurs d’alerte, l’extension de certaines protections offertes aux lanceurs d’alerte aux personnes en lien avec le lanceur d’alerte en créant un statut pour les « facilitateurs » qui aident à effectuer un signalement ainsi qu’un élargissement des canaux de signalement.
Ces modifications ont rendu nécessaire la modification du précédent référentiel qui avait été adopté par la CNIL le 18 juillet 2019 afin de remplacer l’autorisation unique AU-004 qui n’avait plus de valeur juridique à la suite de l’entrée en vigueur du Règlement général sur la protection des données (RGPD) (Règl. [UE] 2016/679 du Parlement européen et du Conseil du 27 avr. 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la dir. 95/46/CE).
Une aide pour assurer la mise en conformité des dispositifs d’alerte au RGPD
Les dispositifs d’alerte professionnelle impliquent quasi systématiquement le recueil de données à caractère personnel en particulier l’identité du lanceur d’alerte et/ou de celle des personnes mentionnées ou visées par l’alerte.
Un tel recueil de données à caractère personnel constitue un « traitement » au sens de l’article 4(2) du RGPD. Par conséquent, les organismes privés et publics mettant en place un dispositif de recueil et de gestion des alertes professionnelles doivent s’assurer de sa conformité aux dispositions du RGPD et de la loi du 6 janvier 1978 « Informatique et libertés ». La mise en place d’un dispositif d’alerte professionnelle peut résulter d’une obligation légale (art. 8 de la loi Sapin 2 pour les entreprises employant au moins cinquante salariés par exemple, ou art. 17 de la loi Sapin 2 pour les entreprises sujettes à l’obligation de mettre en place un programme de conformité anticorruption, etc.), ou de la volonté de l’entité concernée.
Le référentiel publié par la CNIL a pour objectif d’aider ces organismes à...
Sur le même thème
-
Panorama rapide de l’actualité « Technologies de l’information » des semaines du 14 et 21 avril 2025
-
[PODCAST] Le mensonge à l’ère numérique : nouveau rapport du droit à la vérité ?
-
Atteinte aux marques et signes distinctifs de Facebook par Fuckbook : un cumul de responsabilité mais une indemnisation sous contrôle
-
Voyage au bout du livre : de l’usage fautif de la mise au pilon
-
Petite pause printanière
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 7 avril 2025
-
Arrêt Lidl, quelques précisions sur l’objet de la divulgation durant la période de grâce
-
Marque de position : une marque clouée au sol
-
Principe d’exactitude des données contre hallucinations d’IA : NOYB (re)porte plainte contre OpenAI
-
Panorama rapide de l’actualité « Technologies de l’information » de la semaine du 31 mars 2025
Sur la boutique Dalloz
Code de la protection des données personnelles 2025, annoté et commenté
11/2024 -
7e édition
Auteur(s) : Alexandra Guérin-François, Jean Lessi, Jessica Eynard, Elodie Rançon