
La CNIL a finalement mis à jour son référentiel « alertes professionnelles » en juillet 2023, afin d’accompagner les changements importants introduits dans la règlementation sur la protection des lanceurs d’alerte au second semestre 2022.
Contexte – Règlementation française sur la protection des lanceurs d’alerte
Pour rappel, des changements importants en matière de protection des lanceurs d’alerte ont d’abord été introduits en 2016 par la loi dite « Sapin II », puis par la transposition en France de la Directive européenne sur la protection des lanceurs d’alerte par la loi dite « Waserman » et son décret d’application, entrés en vigueur respectivement en septembre et octobre 2022.
Les changements importants apportés par cette nouvelle règlementation portent notamment sur:
- L’extension du champ d’application des signalements bénéficiant de la protection ; à cet égard, même si le champ d’application n’est pas illimité, il n’est pas restreint aux infractions à la législation européenne ;
- L’extension des catégories de lanceurs d’alerte et la création de nouvelles catégories de personnes bénéficiant d’une protection ;
- La création de nouvelles règles de procédure.
Les changements substantiels concernent principalement les « canaux de signalement internes » (c’est-à-dire au sein des organisations), mais la nouvelle réglementation s’applique également aux « canaux de signalement externes » auprès d’autorités ou de tribunaux spécifiques, en fonction du « secteur ».
Outre la règlementation française sur la protection des lanceurs d’alerte proprement dite, d’autres réglementations françaises exigent la mise en œuvre d’un système d’alerte, comme la loi sur le devoir de vigilance.
Modifications du référentiel de la CNIL
Plus de 10 mois après l’entrée en vigueur des modifications réglementaires, et suite à une consultation publique, la CNIL a enfin publié la nouvelle version de son référentiel «alertes professionnelles » ainsi qu’une FAQ.
Le nouveau référentiel conserve la même logique que la précédente version de 2019, mais propose désormais « un cadre unifié » pour l’ensemble des systèmes d’alerte. Il se limite cependant aux aspects liés à la protection des données personnelles. Comme par le passé, le référentiel n’est pas contraignant, mais sert de guide (et facilite l’évaluation de l’impact sur la protection des données).
Les principaux changements, par rapport à la version précédente, concernent :
- Une simplification de la partie « portée du référentiel »
Le guide s’applique à tous les systèmes d’alerte, y compris ceux qui ne relèvent pas du champ d’application de la réglementation française sur la protection des lanceurs d’alerte et/ou qui sont volontaires.
- La définition du dispositif d’alertes professionnelles ou DAP
Dans sa FAQ, la CNIL définit le DAP comme « un outil permettant à une personne (salarié, cocontractant, tiers…) de porter à la connaissance d’un organisme une situation, un comportement ou un risque susceptible de caractériser une violation de la loi ou de règles éthiques adoptées par l’organisme en question, tel qu’un manquement à une charte ou à un code de conduite ».
Le DPA peut prendre différentes formes : « un portail intranet ou internet, une adresse électronique dédiée, une ligne téléphonique, etc. ». Comme par le passé, il « s’ajoute aux autres possibilités de remontées d’alertes, telle que la voie hiérarchique ».
- L’ajout de nouvelles finalités pour le traitement des données collectées dans le cadre du traitement d’une alerte
Un DAP peut être mis en œuvre pour se conformer à une ou plusieurs obligations légales (par exemple, réglementation anticorruption, loi sur le devoir de vigilance, etc.). Il peut également être mis en œuvre sur une base volontaire : lorsque les organisations n’atteignent pas les seuils au-delà desquels la mise en œuvre d’un système d’alerte est imposée par la loi, ou lorsque le système est destiné à couvrir les initiatives visant à lutter contre les comportements inappropriés ou contraires à l’éthique, à la lumière des règles internes de ces organisations (par exemple, un code éthique) que la CNIL qualifie d’« alerte éthique ».
Selon la situation, la base juridique du traitement sera le respect d’une obligation légale ou l’intérêt légitime de l’organisation.
Dans certains cas, le système fonctionnera comme un « guichet unique » ou « DAP unique » pour gérer plusieurs types l’alertes professionnelles à la fois. Les organisations ont dans ce cas la responsabilité de déterminer, en amont de la mise en place du dispositif, les mesures organisationnelles et/ou techniques permettant d’identifier le régime approprié pour chaque alerte reçue. L’organisation doit également se conformer aux exigences de transparence à cet égard.
- Une définition élargie du lanceur d’alerte et des personnes protégées par la réglementation
- L’obligation de fournir un retour d’information au lanceur d’alerte
Le lanceur d’alerte doit notamment être informé des suites réservées à sa démarche.
- De nouveaux développements sur la possibilité d’externaliser la gestion du rapport à des fournisseurs tiers
- Une position sur la « mise en commun des ressources »
La CNIL note que, pour les systèmes d’alerte mis en œuvre pour se conformer à l’article 6 de la loi Sapin (c’est-à-dire la transposition élargie de la directive sur les lanceurs d’alerte), « en principe », il n’est pas possible de partager les ressources aux fins d’évaluation de l’exactitude des faits allégués dans une alerte lorsque les sociétés dépassent 250 employés, même au sein du même groupe.
En outre, il n’est pas possible qu’un signalement soit partagé avec une autre société que celle à laquelle le signalement a été adressé, même au sein d’un groupe de société – le système devrait donc offrir la possibilité d’adresser le rapport à plus d’une société.
- De nouveaux développements sur les différentes phases du traitement des signalements
- De nouveaux développements concernant le traitement des « signalements anonymes »
Cela concerne les situations où le lanceur d’alerte choisit de ne pas s’identifier. Le signalement anonyme est une notion propre à la loi Sapin 2, qu’on ne doit pas confondre avec le concept de « données anonymes », tel que l’entend le RGPD ou la Loi Informatique et Libertés.
- De nouvelles clarifications concernant les périodes de conservation des données
- Une mise à jour sur les mesures de sécurité
Mise à jour du tableau des mesures de sécurité à mettre en œuvre, suite à la publication d’une nouvelle version du guide de sécurité de la CNIL en avril 2023.
Les différents aspects de la réglementation relative à la protection des lanceurs d’alerte obligent les organisations à affiner leurs systèmes d’alertes professionnelles, ce qui peut s’avérer un exercice complexe. Squire Patton Boggs accompagne régulièrement ses clients sur ces questions. Si vous avez besoin d’assistance en France ou dans tout autre pays, vous pouvez contacter l’auteur de cet article ou votre contact habituel chez Squire Patton Boggs.