CNIL : mise à jour du référentiel relatif aux dispositifs d’alerte professionnelle à la suite de la transposition de la directive européenne sur la protection des lanceurs d’alertes

18.09.2023

Le 24 juillet 2023, la Commission nationale de l’informatique et des libertés (CNIL) a publié un nouveau référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alerte, afin de tenir compte des évolutions du droit applicable en matière de signalements professionnels.

La transposition en droit français de la directive européenne sur la protection des lanceurs d’alerte (Dir. [UE] 2019/1937 du Parlement européen et du Conseil du 23 oct. 2019 sur la protection des personnes qui signalent des violations du droit de l’Union) par la loi du 21 mars 2022 (Loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte) ainsi que par son décret d’application du 3 octobre 2022 (Décr. n° 2022-1284 relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d’alerte et fixant la liste des autorités externes instituées par la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte) introduit plusieurs modifications du dispositif de protection des lanceurs d’alerte instauré par la loi Sapin 2 du 9 décembre 2016 (Loi n° 2016-1691 du 9 déc. 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique ; ci-après la « loi Sapin 2 modifiée »). Afin de renforcer la protection des lanceurs d’alerte, ce nouveau dispositif prévoit notamment un élargissement de la définition des lanceurs d’alerte, l’extension de certaines protections offertes aux lanceurs d’alerte aux personnes en lien avec le lanceur d’alerte en créant un statut pour les « facilitateurs » qui aident à effectuer un signalement ainsi qu’un élargissement des canaux de signalement.

Ces modifications ont rendu nécessaire la modification du précédent référentiel qui avait été adopté par la CNIL le 18 juillet 2019 afin de remplacer l’autorisation unique AU-004 qui n’avait plus de valeur juridique à la suite de l’entrée en vigueur du Règlement général sur la protection des données (RGPD) (Règl. [UE] 2016/679 du Parlement européen et du Conseil du 27 avr. 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la dir. 95/46/CE).

Une aide pour assurer la mise en conformité des dispositifs d’alerte au RGPD

Les dispositifs d’alerte professionnelle impliquent quasi systématiquement le recueil de données à caractère personnel en particulier l’identité du lanceur d’alerte et/ou de celle des personnes mentionnées ou visées par l’alerte.

Un tel recueil de données à caractère personnel constitue un « traitement » au sens de l’article 4(2) du RGPD. Par conséquent, les organismes privés et publics mettant en place un dispositif de recueil et de gestion des alertes professionnelles doivent s’assurer de sa conformité aux dispositions du RGPD et de la loi du 6 janvier 1978 « Informatique et libertés ». La mise en place d’un dispositif d’alerte professionnelle peut résulter d’une obligation légale (art. 8 de la loi Sapin 2 pour les entreprises employant au moins cinquante salariés par exemple, ou art. 17 de la loi Sapin 2 pour les entreprises sujettes à l’obligation de mettre en place un programme de conformité anticorruption, etc.), ou de la volonté de l’entité concernée.

Le référentiel publié par la CNIL a pour objectif d’aider ces organismes à mettre leurs dispositifs de recueil et de gestion des alertes professionnelles en conformité avec les règles relatives à la protection des données personnelles en apportant des préconisations s’agissant par exemple des finalités du traitement, des conditions de réception des alertes, de l’information des personnes concernées ou encore de la durée de conservation des données à caractère personnel et des mesures de sécurité à prévoir.

Ce référentiel n’est pas contraignant pour les organismes qui décident ou sont tenus de mettre en place un dispositif de gestion et de recueil des alertes professionnelles. Néanmoins, la CNIL précise, dans la FAQ qui accompagne le référentiel, que les organismes qui respectent ce référentiel bénéficient d’une présomption de conformité de leurs traitements de données relatifs aux alertes professionnelles.
Par ailleurs, la CNIL indique que ce référentiel constitue également une aide pour l’analyse d’impact relative à la protection des données qui doit être réalisée lors de la mise en place d’un dispositif de recueil ou de gestion des alertes et des signalements en matière professionnelle (Les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle figurent sur la liste des traitements pour lesquels la CNIL estime nécessaire qu’une Analyse d’impact sur la protection des données (AIPD) soit réalisée (Délib. n° 2018-327, 11 oct. 2018, D. 2019. 1673, obs. W. Maxwell et C. Zolynski ; portant adoption de la liste des types d’opérations de traitement pour lesquelles une analyse d’impact relative à la protection des données est requise)).

Les changements introduits dans le nouveau référentiel publié par la CNIL

- Tout d’abord, le nouveau référentiel apporte des précisions quant à son champ d’application. La CNIL indique sur ce point que ce référentiel s’applique à tout type d’alerte professionnelle et adopte à cet égard une définition large de ce que constitue une « alerte professionnelle », qui diffère de celle de l’article 6 de la loi Sapin 2 modifiée, afin de couvrir l’ensemble des dispositifs permettant de « recevoir, traiter et conserver tout signalement effectué de bonne foi et qui révèle ou signale une violation de règles juridiques (qu’elles soient françaises, européennes, internationales ou étrangères) ou éthiques » (Référentiel, § 6).

- Ensuite, le référentiel élargit la liste des finalités du traitement qui figurait dans le référentiel précédent. À l’objectif de recueil et traitement des alertes qui signalent un manquement à une règle spécifique, sont désormais ajoutées les finalités suivantes : « effectuer les vérifications, enquêtes et analyses nécessaires », « définir les suites à donner au signalement », « assurer la protection des personnes concernées » notamment contre les risques de représailles et « exercer ou défendre des droits en justice ».

Conformément au RGPD, les informations recueillies pour l’une de ces finalités ne peuvent pas être réutilisées pour poursuivre un autre objectif qui serait incompatible avec la finalité initiale. Sur ce point, la CNIL précise par exemple que la réutilisation des informations recueillies dans le cadre d’un dispositif d’alerte à des fins de défense des droits de l’organisme dans le cadre d’un procès lié à l’alerte constituerait a priori un objectif compatible avec les finalités mentionnées ci-dessus.

- La CNIL apporte également plusieurs précisions quant aux données personnelles concernées dans le cadre d’un signalement.

Au stade du recueil de l’alerte, la CNIL recommande ainsi que le responsable de traitement rappelle aux auteurs de signalements que les informations communiquées dans le cadre du dispositif d’alerte doivent rester factuelles, présenter un lien direct avec l’objet de l’alerte, et ne doivent pas relever du secret de la défense nationale, du secret médical, du secret des délibérations judiciaires, du secret de l’instruction ou du secret professionnel de l’avocat.

S’agissant par ailleurs de la question de l’identité de l’auteur de l’alerte, on rappellera que dans le référentiel précédent, la CNIL recommandait que l’auteur de l’alerte ne soit pas anonyme. Afin de tenir compte des modifications introduites en droit français à la suite de la transposition de la directive sur la protection des lanceurs d’alerte, la CNIL a modifié son référentiel s’agissant des cas de signalements anonymes. Selon la CNIL, ce type de signalements correspond à ceux dont l’auteur a choisi de ne pas révéler son identité, qu’il puisse ou non être possible de l’identifier au terme d’une enquête ou recherche complémentaire. En particulier, la CNIL considère que les dispositifs d’alerte « devraient permettre aux auteurs d’émettre leurs signalements de manière anonyme », et que, dans ce cas, le dispositif d’alerte devrait « permettre une poursuite des échanges avec l’auteur de l’alerte tout en lui conservant le bénéfice de l’anonymat » (Référentiel, §§ 39 et 40). Dans ce cas, la CNIL recommande que, sauf obligation légale contraire ou consentement de l’auteur du signalement, les organismes s’abstiennent de toute tentative de réidentification du lanceur d’alerte. La CNIL rappelle au demeurant que cette notion d’anonymat, propre à la loi Sapin 2, ne doit pas être confondue avec la notion de données « anonymes » au sens du RGPD.

- Des précisions quant aux accédants et destinataires des données relatives au signalement sont en outre introduites par la CNIL.

Le nouveau référentiel comporte à cet égard des développements supplémentaires relatifs à « l’externalisation des canaux de réception des signalements » et à la « mise en commun des ressources » entre deux ou plusieurs organismes afin de prendre en compte les nouvelles règles introduites sur ce point par la loi Sapin 2 modifiée. La CNIL précise que le recours à ces différentes formes d’externalisation est susceptible d’entrainer une qualification des entités concernées en tant que « responsable de traitement », « sous-traitant » ou « responsable conjoint de traitement » au sens du RGPD. Le statut respectif des parties prenantes devra alors être déterminé par l’organisme qui décide de recourir à une telle démarche préalablement à sa mise en place et un contrat devra être formalisé afin de définir les obligations respectives des parties en matière de protection des données à caractère personnel. Par ailleurs, tout en rappelant que le référentiel n’a pas vocation à interpréter les dispositions concernant l’externalisation et la mutualisation, la CNIL considère néanmoins que (Référentiel, § 51) :

• les canaux de réception peuvent être délégués à des tiers (cabinet d’avocats, plateforme spécialisée ou fournisseur de services de messagerie électronique), ce qui peut couvrir la réception de l’alerte, l’enregistrement d’un échange téléphonique ou audiovisuel en vue de sa retranscription, sa consignation dans un procès-verbal, l’analyse initiale de la recevabilité de l’alerte et l’émission du récépissé.

• la mise en commun des ressources aux fins d’évaluation de l’exactitude des allégations est en principe réservée aux entités employant moins de 250 personnes, qu’elles fassent ou non partie d’un groupe.

• le traitement des alertes ne semble pas pouvoir être intégralement délégué à un tiers. Toutefois, le Conseil national des barreaux a une lecture différente des textes puisqu’il considère que rien ne s’oppose à ce que les entités concernées puissent externaliser à un tiers le recueil et/ou le traitement des signalements, notamment à un avocat, aux termes d’une lettre adressée à la CNIL en date du 8 juin 2023 (Courrier adressé à la présidente de la CNIL (cnb.avocat.fr)).
En outre, la CNIL rappelle les règles issues de la loi et du décret concernant la transmission des données en dehors de l’organisme ayant reçu l’alerte, qui vaut pour l’ensemble des informations et pas seulement les données personnelles, à laquelle il convient d’être particulièrement attentif. La CNIL ajoute ainsi que les données « peuvent notamment être communiquées au sein du groupe de sociétés auquel appartient l’organisme concerné si cette communication est nécessaire aux seuls besoins de la vérification ou du traitement de l’alerte » (Référentiel, § 59).

- La CNIL introduit aussi des précisions quant à la durée de conservation des données afin de tenir compte des modifications introduites dans la loi Sapin 2. Il est ainsi recommandé de conserver les données après la prise de décision définitive sur les suites à réserver à l’alerte sous forme d’archives intermédiaires « le temps strictement proportionné à leur traitement et à la protection de leurs auteurs, des personnes qu’ils visent et des tiers qu’ils mentionnent, en tenant compte des délais d’éventuelles enquêtes complémentaires » (Loi Sapin 2 mod., art. 9.III). La CNIL précise que lorsqu’une procédure disciplinaire ou contentieuse est engagée, les données relatives à l’alerte peuvent être conservées jusqu’au terme de la procédure ou de la prescription des recours à l’encontre de la décision intervenue.

- Par ailleurs, afin de prendre en compte l’extension de certaines protections offertes aux lanceurs d’alerte aux personnes en lien avec le lanceur d’alerte, le nouveau référentiel de la CNIL élargit le champ des personnes concernées au sens du RGPD. Sont ainsi désormais considérées comme personnes concernées « les personnes protégées par ricochet » conformément aux 2° et 3° de l’article 6-1 de la loi Sapin 2 modifiée. Des références aux « facilitateurs » et « personnes en lien avec l’émetteur de l’alerte » sont par conséquent ajoutées dans les développements relatifs aux données personnelles et aux droits des personnes concernées.

- Enfin, s’agissant des modalités d’informations des personnes concernées, la CNIL recommande, au titre de l’obligation de transparence et de loyauté, de rendre régulièrement compte de l’utilisation des dispositifs d’alerte aux instances représentatives de personnel. Le responsable de traitement doit communiquer les informations relatives au traitement au lanceur d’alerte dès le début du processus de recueil de l’alerte, et à la personne visée dans un « délai raisonnable, ne pouvant pas dépasser un mois, sauf exception dûment justifiée, à la suite de l’émission d’une alerte ». Par ailleurs, la CNIL rappelle l’obligation d’informer l’auteur du signalement des mesures envisagées ou prises pour évaluer l’exactitude des allégations et, le cas échéant, pour remédier à l’objet du signalement, conformément aux modifications introduites par la loi Sapin 2 et son décret d’application. Le référentiel précise sur ce point que la délivrance d’une telle information ne peut être subordonnée à la production d’informations identifiantes de l’auteur du signalement.

Il appartient aux entreprises de s’assurer que, dans le cadre de leur dispositif d’alerte, la protection des données personnelles est bien respectée, en intégrant par exemple une section sur les données personnelles dans leur politique d’alerte, ou une section sur le dispositif d’alerte dans leur politique relative à la protection des données personnelles. En outre, elles doivent veiller à rendre ces droits réels et effectifs.