Référentiel CNIL et les alertes professionnelles 2023

26Juil

Référentiel CNIL et les alertes professionnelles 2023

Par Actualités CIDFP 0 Commentaires

Comment la protection des données personnelles évolue dans le contexte des alertes professionnelles ? Comparaison entre le référentiel de 2019 et le référentiel du 24 juillet 2023 - Décryptage des évolutions majeures en matière de données personnelles

Dans cet article, nous entreprenons une analyse comparative des versions 2019 et 2023 du “référentiel CNIL alertes professionnelles”. Notre objectif est de mettre en lumière les changements significatifs et de comprendre l’impact de ces évolutions sur la protection des données personnelles dans le cadre des alertes professionnelles.

Référentiel de la CNIL et les alertes professionnelles : voici les actualités en matière de protection des données personnelles

Sommaire

Référentiel CNIL et alertes professionnelles en 2023 : Modification de la porté du référentiel

Un changement majeur réside dans l’intégration explicite des organismes externes responsables de la mise en place de dispositifs de recueil d’alertes. Cette évolution s’aligne sur les préconisations de la directive européenne, qui envisage la participation d’entités tierces pour garantir un processus d’alerte plus transparent et indépendant. 

Finalités du Traitement dans le Référentiel CNIL et Alertes Professionnelles : Décryptage des Objectifs Visés

Conformité et flexibilité : La CNIL ajuste son approche

La CNIL a apporté des clarifications essentielles dans sa dernière mise à jour du référentiel relatif aux alertes professionnelles. 

Voyons ensemble ce qui change.

D’abord, il est crucial de comprendre que le référentiel n’impose plus une contrainte rigide. Contrairement à l’ancienne version qui suggérait que suivre le référentiel assurait la conformité, la nouvelle version précise clairement que le référentiel n’a pas de caractère contraignant. Les organismes ont donc la liberté de s’en écarter.

Cependant, cette flexibilité vient avec des responsabilités. Si un organisme décide de s’écarter du référentiel, il doit maintenant justifier et documenter ce choix. Bien évidamment, il reste essentiel de garantir que les traitements de données respectent toujours la réglementation.

Un ajout notable concerne le RGPD. La CNIL rappelle dans cette partie que les traitements de données doivent figurer dans le registre prévu par l’article 30 du RGPD. C’est une étape cruciale pour garantir la transparence et la traçabilité des traitements de données.

Enfin, la CNIL souligne que le respect de son référentiel ne remplace pas d’autres obligations réglementaires. Les organismes doivent aussi se conformer à d’autres textes, comme le code de la fonction publique ou le code du commerce.

En conclusion, tout en offrant plus de flexibilité, la CNIL insiste sur la responsabilité des organismes à justifier leurs choix et à garantir la protection des données personnelles.

La CNIL souligne ainsi l’importance de ces organismes dans le processus de recueil des alertes, tout en mettant l’accent sur les risques potentiels pour les données personnelles que leur activité pourrait engendrer.

Finalités du Traitement dans le Référentiel CNIL Alertes Professionnelles : Décryptage des Objectifs Visés

Dans cette partie, nous observons une évolution dans la manière dont la CNIL définit les finalités des traitements relatifs aux dispositifs d’alertes professionnelles. Voici une analyse des modifications :

Ancienne approche : Le traitement des alertes professionnelles avait pour but premier de recueillir et de traiter les signalements visant à mettre en évidence un manquement à une règle spécifique. La CNIL fournissait également des exemples détaillés pour clarifier le cadre de ces alertes, tels que les alertes relatives à l’article 8 de la loi « Sapin 2 », qui concernent principalement les manquements graves tels que les crimes, les délits ou les violations manifestes de la loi.

Nouvelle orientation : La CNIL élargit et précise davantage les finalités du traitement. Les DAP (Dispositifs d’Alertes Professionnelles) ne se limitent plus uniquement au recueil des signalements.

Ils englobent désormais :

  1. recueillir et traiter les alertes ou signalements visant à signaler un manquement à une règle spécifique ;
  2. effectuer les vérifications, enquêtes et analyses nécessaires ;
  3. définir les suites à donner au signalement ;
  4. assurer la protection des personnes concernées ;
  5. exercer ou défendre des droits en justice.

Cette expansion des finalités montre une approche plus holistique de la gestion des alertes, en intégrant non seulement le processus de signalement mais aussi les étapes post-signalement, garantissant ainsi une meilleure protection des données et des droits des individus concernés.

Image détaillée présentant les différentes formations en sécurité informatique disponibles. Les modules de formation illustrés couvrent une variété de sujets, y compris la cybersécurité, la protection des données, la prévention des attaques de réseau, et les meilleures pratiques en matière de sécurité informatique. Cette image est une ressource précieuse pour ceux qui cherchent à améliorer leurs compétences en sécurité informatique grâce à nos formations.
Référentiel CNIL et les alertes professionnelles 2023 : Un seul dispositif unique pour un meuilleur traitement de l'alerte

De “Dispositifs Hybrides” à “DAP Uniques” : Une Évolution Sémantique et Fonctionnelle

L’une des évolutions notables entre les deux versions du référentiel concerne la nomenclature. La CNIL remplace le terme “dispositifs hybrides” par “DAP uniques”. Mais qu’est-ce que cela implique exactement ?

Ancienne approche – Dispositifs Hybrides :

La version précédente faisait référence à des “dispositifs hybrides”, ces dispositifs englobaient diverses finalités de traitement. Par exemple, ils pouvaient à la fois cibler les alertes « de droit commun » en vertu de l’article 8.III de la loi « Sapin 2 », celles liées au devoir de vigilance selon l’article L 225-102-4 du Code du commerce, et celles découlant de chartes ou codes éthiques propres à l’organisme. L’important était de distinguer clairement les finalités découlant d’obligations légales spécifiques de celles choisies volontairement par l’entité.

Nouvelle orientation – DAP Uniques :

La CNIL introduit le concept de “DAP uniques”. Un DAP unique se conçoit comme un dispositif centralisé pouvant servir plusieurs finalités distinctes. Il peut, par exemple, traiter les alertes “de droit commun” en vertu de l’article 6 de la Loi « Sapin 2 », mais aussi d’autres types d’alertes comme celles liées au devoir de vigilance ou celles relevant de codes éthiques internes. Ce changement suggère une approche plus intégrée, où un seul DAP peut couvrir une gamme plus large d’alertes, tout en distinguant toujours les obligations légales des choix organisationnels.

Ce changement terminologique reflète non seulement une évolution sémantique mais aussi une orientation vers une simplification et une centralisation des processus de traitement des alertes. Cette évolution permet aux organismes de gérer de manière plus efficace et transparente les différentes catégories d’alertes, tout en respectant les exigences réglementaires et éthiques.

Réutilisation des Données : Une Précision Accrue sur les Limites et les Exceptions

La CNIL a toujours été claire sur le fait que les données recueillies dans le cadre des alertes professionnelles ne peuvent être réutilisées à d’autres fins qui seraient incompatibles avec l’objectif initial. Toutefois, la mise à jour apporte des nuances importantes.

Ancienne approche : Dans la version précédente, la CNIL stipulait que les informations recueillies pour une finalité spécifique ne pouvaient pas servir à un autre objectif incompatible avec cette finalité première. Elle mentionnait également l’interdiction d’interconnexions ou d’échanges de données autres que ceux nécessaires à la finalité énoncée.

Nouvelle orientation : La nouvelle version va plus loin dans les détails. Tout d’abord, elle précise que la réutilisation des données à des fins de défense des droits de l’organisme dans le cadre d’un procès lié à l’alerte serait a priori compatible. C’est une précision majeure qui donne une certaine marge de manœuvre aux organismes tout en garantissant la protection des données.

La CNIL note également que, compte tenu de l’encadrement strict des alertes professionnelles, les cas de réutilisation ultérieure des données sont en pratique très limités. Cela renforce l’idée que les données recueillies dans le cadre d’une alerte ont une portée et une utilisation très spécifiques.

Enfin, bien que la mention d’interconnexions disparaisse, la CNIL insiste sur le fait que tout nouvel usage des données doit respecter intégralement les principes de protection des données personnelles.

En somme, tout en offrant une certaine flexibilité, notamment pour la défense des droits de l’organisme, la CNIL veille à ce que la réutilisation des données ne s’écarte pas des principes fondamentaux de protection des données personnelles.

Bases Légales du Traitement dans le Référentiel CNIL Relatif aux Alertes Professionnelles : Vers Une Plus Grande Clarté

La question de la base légale est fondamentale lorsqu’il s’agit de traitement des données, et plus encore dans le cadre spécifique des alertes professionnelles. La mise à jour du “Référentiel CNIL Alertes Professionnelles” apporte des précisions essentielles à ce sujet. 

Examinons les changements introduits :

  • Ancienne approche : Le texte antérieur soulignait que, lorsque le dispositif de recueil d’alertes est établi en réponse à une obligation légale et permet également le recueil d’alertes basées sur un engagement volontaire de l’organisme, le responsable du traitement devait distinguer les bases légales pour chaque finalité.

 

  • Nouvelle orientation : Nouvelle orientation : Dans le référentiel CNIL 2023, la terminologie évolue. Ce que l’on appelait “dispositif” est désormais désigné par “DAP” (Dispositif d’Alerte Professionnelle). Cette modification fait probablement écho à la distinction établie par la loi Sapin II, qui permet aux individus de signaler des informations même si celles-ci n’ont pas été obtenues directement dans le cadre de leurs activités professionnelles.

Mais la modification ne s’arrête pas à la sémantique.

La CNIL insiste désormais sur la nécessité pour le responsable du traitement non seulement de différencier les bases légales, mais aussi de distinguer explicitement les finalités du traitement elles-mêmes. Cela traduit une volonté d’assurer que les organismes identifient clairement non seulement sur quelle base légale ils agissent, mais aussi pour quelles raisons précises ils recueillent ces alertes.

En renforçant la distinction entre bases légales et finalités du traitement dans le “Référentiel CNIL Alertes Professionnelles”, la CNIL accentue la transparence et l’accountability des organismes, garantissant une meilleure protection des droits des individus.

Référentiel CNIL et les alertes professionnelles 2023 : Meuilleure protection des lanceurs d'alerte : les bases légales clarifiées

Bases Légales du Traitement et la Minimisation des Données : L’éclairage du référentiel CNIL alertes professionnelles 2023

La mise à jour 2023 du “Référentiel CNIL Alertes Professionnelles” illustre l’engagement continu de la CNIL à affiner ses directives sur la protection des données. Avec des évolutions notables, notamment dans le cadre des alertes professionnelles, cette mise à jour apporte de la clarté et de la précision à un domaine crucial. Découvrons ensemble les modifications majeures. 

1. Phase de Recueil de l’Alerte 

  • Changement Terminologique : La phase initialement appelée “réception de l’alerte” est maintenant désignée comme “phase de recueil d’une alerte”.
  • Accent sur les DAP : Le texte met en avant les Dispositifs d’Alerte Professionnelle (DAP) et précise que le lanceur d’alerte est maître de la nature et du volume des informations qu’il transmet.
  • Nature des Informations : La CNIL insiste pour que les responsables du traitement rappellent aux auteurs de signalements d’être factuels. De plus, il est crucial de souligner que les informations ne doivent pas transgresser certains secrets, y compris le secret de la défense nationale, le secret médical, le secret des délibérations judiciaires, le secret de l’enquête ou de l’instruction judiciaires, et le secret professionnel de l’avocat.

2. Phase d’Instruction de l’Alerte 

  • Définition du Processus : La CNIL détaille cette phase, la situant entre la réception de l’alerte et la décision finale concernant celle-ci.
  • Rôle du Responsable : La mise à jour souligne le rôle pivot du responsable du traitement dans la détermination des éléments à recueillir ou à conserver.
  • Élargissement des Catégories de Données : Les catégories de données ont été enrichies, englobant désormais les “facilitateurs”, les “personnes en lien avec l’émetteur de l’alerte”, et d’autres acteurs, conformément à la loi Sapin II.

3. Après la Décision sur l’Alerte

  • Directives Post-Décision : Une fois la décision prise, certaines données peuvent être conservées pour des raisons spécifiques, comme la protection contre les représailles.
  • Protection du Lanceur d’Alerte : La CNIL affirme la protection des lanceurs d’alerte, notamment en cas de signalement hors champ du DAP. Cette protection et la confidentialité de l’identité du lanceur d’alerte sont alignées sur les articles 6 et suivants de la loi Sapin 2 modifiée.

En synthèse, la mise à jour 2023 du “Référentiel CNIL Alertes Professionnelles” renforce la guidance autour de la gestion des données dans le contexte des alertes professionnelles. Elle illustre l’engagement constant de la CNIL à offrir clarté et protection, tout en se conformant aux exigences de la loi Sapin II et autres réglementations en vigueur.

ZOOM sur le Traitement de Données Sensibles et d’Infraction

Données Sensibles:

  • Les données d’une nature extrêmement délicate, comme celles exposant l’origine ethnique, les opinions politiques, les convictions religieuses, l’appartenance syndicale, les données génétiques, biométriques, concernant la santé, la vie sexuelle ou l’orientation sexuelle, requièrent une manipulation minutieuse. Ces données, en vertu de l’article 9 du RGPD et des articles 6 et 44 de la LIL, ne peuvent être traitées qu’en respectant des conditions spécifiques.
  • Par rapport à l’ancienne version, la CNIL introduit l’idée que ces données peuvent être traitées si les Dispositifs d’Alerte Professionnelle (DAP) répondent à un “intérêt public important” selon l’article 9.2.g) du RGPD.

Données d’Infraction:

  • Les données relatives aux infractions, condamnations et mesures de sûreté liées à des individus peuvent être recueillies et traitées sous conditions strictes. Ces conditions sont définies dans l’article 10 du RGPD et l’article 46 de la LIL.
  • Le nouveau texte 2023 met l’accent sur la possibilité de collecter des données sensibles et des données d’infraction grâce à des dispositions légales, comme celles citées dans la loi « Sapin 2 ».

Traitement de l’Identité de l’Auteur d’une Alerte

Signalements Anonymes Il convient de souligner l’importance de distinguer entre les signalements anonymes et ceux où l’auteur fournit des informations d’identification. 

Les DAP offrent également la possibilité de signalements anonymes. La communication avec l’auteur devrait se poursuivre sans compromettre son anonymat.

Les entreprises sont encouragées à éviter l’utilisation de techniques permettant la réidentification des lanceurs d’alerte anonymes, telles que l’emploi de cookies ou le suivi d’adresses IP.

Identité du Lanceur d’Alerte Si un lanceur d’alerte décide de révéler son identité, cette information est traitée avec une confidentialité stricte. Cette directive reste inchangée par rapport à l’ancienne version et conforme à l’esprit de la loi Sapin II. Rappelons que la CNIL a toujours été réservée sur le sujet des signalements anonymes.

Stagiaires concentrés travaillant sur des projets lors d'une formation en informatique et technologies de l'information
Référentiel CNIL et les alertes professionnelles 2023 : Accès aux informations collectées dans le cadre du traitement de l'alerte encadré

Comparatif des Versions du “Référentiel CNIL Alertes Professionnelles” : Focus sur les accédants et destinataires des informations

Structuration : La version 2023 introduit une structuration numérique, qui aide à une meilleure organisation du contenu et facilite la référence à des points spécifiques.

Accessibilité des Données : Il est rappelé que les données personnelles doivent rester strictement accessibles aux personnes ayant des autorisations spécifiques. Cette affirmation renforce l’importance de la confidentialité et de la sécurité des données.

Externalisation du Traitement des Alertes 

Rappelons que l’article Art. 8.-I.C de la loi Sapin II révisée indique que « Les entités employant moins de deux cent cinquante salariés peuvent mutualiser leurs procédures de recueil et de traitement des signalements sous certaines conditions. » 

  • Distinction des Rôles : Un des changements les plus significatifs est la clarification des rôles dans le processus d’externalisation. Les concepts de « responsable de traitement », « sous-traitant » et « responsable conjoint de traitement » sont introduits. Ces distinctions aident les organisations à déterminer leurs responsabilités exactes en matière de traitement des données.

  • Impératifs Contractuels : L’importance de définir les relations par des contrats est mise en avant. Ces contrats doivent clairement énoncer les obligations de chaque partie, assurant ainsi une meilleure protection des données.

  • Éclaircissement par des Exemples : La version 2023 offre une multitude d’exemples pour illustrer comment les règles s’appliquent dans des contextes spécifiques, notamment en ce qui concerne l’externalisation. Cela fournit une guidance pratique aux organismes.

3. Accès aux Données pour le Compte de l’Organisme :

  • Principes de base étoffés : Tout en reprenant les principes énoncés dans l’ancienne version, la version 2023 les détaille davantage. La stricte limitation de l’accès aux données est réitérée, mais avec une explication plus complète des attributions et fonctions respectives.

  • Introduction de nouveaux rôles : L’édition 2023 met en lumière des rôles supplémentaires qui peuvent être impliqués dans le processus d’alerte, comme l’avocat ou le conseil. Cette inclusion reconnaît une gamme plus large de parties prenantes dans le processus d’alerte.

La mutualisation ou l’externalisation des opérations liées aux signalements pourrait qualifier les entités concernées comme « responsable de traitement », « sous-traitant » ou « responsable conjoint de traitement ».

La CNIL rappelle que la transposition par la France de la directive (UE) 2019/1937 du Parlement européen et du Conseil du 23 octobre 2019 sur la protection des personnes qui signalent des infractions au droit de l’Union a modifié les règles applicables à la possibilité, pour les organismes assujettis, de déléguer la fonction de traitement des alertes internes (article 8.I.B.4° de la loi Sapin 2 modifiée et l’article 7 de son nouveau décret d’application). 

L’externalisation des canaux de réception des signalements apparaît largement ouverte à l’ensemble des organismes concernés par l’obligation de mettre en place un DAP : ils peuvent donc déléguer cette fonction à un tiers tel qu’un cabinet d’avocat, une plateforme spécialisée, ou un fournisseur de services de messagerie électronique. 

Les fonctions déléguées peuvent couvrir la réception de l’alerte (quelle qu’en soit la forme), mais aussi l’enregistrement d’un échange téléphonique ou audiovisuel en vue de sa transcription, sa consignation dans un procès-verbal, l’analyse initiale de la recevabilité de l’alerte et, enfin, l’émission du récépissé à destination de l’auteur du signalement.

Le texte insiste sur la nécessité pour l’organisme de déterminer le statut des parties avant la mise en place du traitement et d’établir un contrat en conséquence (point 47).

La CNIL met en exergue de la possibilité pour les organismes de déléguer tout ou une partie des opérations de traitement des alertes à des entités tierces est introduite (point 49).

Des exemples spécifiques et des clarifications sont donnés pour illustrer les cas d’externalisation, notamment concernant les alertes internes de l’article 6 de la loi Sapin 2 modifiée et les alertes spécifiques (points 50 à 53).

L’externalisation des opérations associées aux signalements ainsi que la mutualisation des ressources pour évaluer la véracité des faits évoqués dans un signalement sont principalement envisageables. Cette mutualisation est toutefois réservée uniquement aux organismes employant moins de 250 personnes, qu’ils soient membres d’un groupe ou non.

Cependant, la nouvelle réglementation ne semble pas autoriser la délégation totale et directe de l’ensemble du processus de traitement des alertes à une tierce entité. Ce processus englobe la réception des alertes, leur évaluation initiale, les investigations complémentaires, l’analyse juridique et éthique des informations recueillies, la décision finale concernant le signalement, et la communication avec toutes les parties impliquées, y compris les autorités externes.

En conclusion, la CNIL souligne avec force l’importance de la confidentialité. La dernière version accentue le rôle crucial de la confidentialité, surtout pour ceux en charge de la gestion des alertes. Elle met en lumière la nécessité d’engagements contractuels solides pour assurer cette protection.

Zoom sur les DAP spécifiques : Si l’on regarde les contraintes liées à l’externalisation du traitement des alertes établies par les articles 6 et suivants de la loi Sapin 2 modifiée, elles touchent essentiellement la gestion des “alertes internes”. Cependant, d’autres types de DAP, comme les alertes anti-corruption évoquées à l’article 17 de la loi Sapin 2, ne sont pas assujetties à ces mêmes règles. Qu’ils soient du secteur public ou privé, les organismes peuvent donc utiliser ces DAP sans restrictions particulières liées à la taille de leur personnel ou à la nature des fonctions externalisées.

Un œil sur les DAP uniques : Pour les entités envisageant d’instaurer un DAP universel, capable d’accueillir et de traiter des alertes de diverses natures, il est impératif qu’elles se conforment aux exigences d’externalisation et/ou de mutualisation des ressources pertinentes pour les alertes internes standards.

Accès et Destinataires des Données dans le Nouveau Référentiel CNIL 2023

L’évolution continue des normes en matière de protection des données est manifeste dans la mise à jour 2023 du référentiel de la CNIL. L’accent est mis sur la manière dont les données sont gérées et par qui elles peuvent être consultées.

Qui peut accéder aux données ?
La CNIL stipule que seules les personnes dûment habilitées, en fonction de leurs rôles spécifiques, peuvent avoir accès aux données personnelles. Ces personnes peuvent être :

  • Les individus spécialement désignés pour gérer les alertes.
  • Les référents ou prestataires de services chargés de recevoir et traiter ces alertes. Il est important de noter que ces prestataires doivent s’engager à garantir la confidentialité des données, à respecter la durée de conservation et à détruire ou restituer toutes les données à la fin de leur mission.
  • Les avocats ou conseils qui assistent l’organisme récepteur de l’alerte.
  • Et enfin, une autre entité du même groupe, à certaines conditions.

Qui sont les destinataires des données ?
Le RGPD définit les destinataires comme toute entité recevant les données. Lors de la transmission des données, une attention particulière doit être portée, surtout si elle se fait hors de l’entité initiale. La loi Sapin 2 renforce la confidentialité, stipulant que l’identité du lanceur d’alerte ne peut être révélée sans son consentement, sauf à l’autorité judiciaire.

Un point clé à noter est que si un signalement concerne également une autre société du même groupe, la société initiale ne peut pas simplement transférer l’alerte. Elle doit plutôt encourager la personne à l’origine de l’alerte à le faire directement.

De plus, les données peuvent être partagées au sein d’un groupe de sociétés si cela est essentiel pour vérifier ou traiter l’alerte.

Transfert des données hors de l’UE : La CNIL rappelle que le transfert de données hors de l’UE est strictement réglementé. Il doit soit reposer sur une décision d’adéquation, soit être encadré par des règles spécifiques, comme des règles d’entreprise ou des clauses contractuelles spécifiques. Pour plus de détails sur ces règles, la CNIL recommande de consulter sa rubrique sur le transfert des données hors de l’UE.

Le paysage réglementaire de la protection des données continue d’évoluer, et avec ces mises à jour, la CNIL s’efforce de garantir que les données des individus sont traitées avec le plus grand soin et respect.

Quel délai de conservation des données personnelles dans le cadre de l'alerte professionnelle ?

Comparaison des Durées de Conservation selon la CNIL : Ancienne vs. Nouvelle Version

Dans le monde numérique en constante évolution, la manière dont les données sont conservées, et pendant combien de temps, est cruciale. La CNIL, en tant qu’autorité de régulation, a mis à jour son référentiel.

Voici une comparaison des deux versions concernant les durées de conservation des données.

Ancienne Version : Dans la précédent référentiel, la CNIL mettait l’accent sur la nécessité de conserver les données uniquement pour la durée nécessaire à la réalisation des finalités poursuivies.

Elle précisait que les données relatives à une alerte non pertinente devaient être supprimées ou anonymisées immédiatement.

Lorsqu’aucune suite n’était donnée à une alerte pertinente, les données devaient être détruites ou anonymisées dans un délai de deux mois.

La conservation des données pour une procédure disciplinaire ou contentieuse était également abordée.

La CNIL insistait sur l’importance de l’anonymisation des données pour une conservation à long terme.

Nouvelle Version : La version 2023 met en avant la conformité avec l’article 5-1-e) du RGPD, insistant sur le fait que les données ne devraient être conservées que pour la durée strictement nécessaire.

Elle introduit également la notion d’archives intermédiaires, mentionnant que les données relatives à une alerte peuvent être conservées dans ce format après la prise de décision sur l’alerte.

L’accent est également mis sur l’obligation légale de conservation des données pour des raisons comptables, fiscales ou probatoires.

La CNIL aborde de nouveau l’anonymisation, soulignant que la réglementation ne s’applique pas aux données anonymes.

Il est intéressant de noter que la loi Sapin 2 modifiée prévoit désormais pour les alertes internes que « les données relatives aux signalements peuvent toutefois être conservées au-delà de [la durée nécessaire pour leur traitement et pour la protection des parties prenantes] à la condition que les personnes physiques concernées n’y soient ni identifiées ni identifiables ».

Selon la CNIL, les expressions « données [dans lesquelles] les personnes physiques concernées [ne sont] ni identifiées ni identifiables » (au sens de la loi Sapin 2 modifiée) et « données anonymisées » (au sens de l’avis n° 95/2004 du G29) sont considérées comme équivalentes.

Type de Données

Ancienne Version

Nouvelle Version

Données relatives à une alerte non pertinente

Destruction ou anonymisation immédiate

Non spécifié

Données d’une alerte pertinente sans suite

Destruction ou anonymisation dans un délai de 2 mois

Conservation en base active jusqu’à la décision définitive

Données d’une alerte avec procédure disciplinaire ou contentieuse

Conservation jusqu’à la fin de la procédure ou prescription des recours

Idem, jusqu’à la fin de la procédure ou prescription des recours

Données anonymisées

Conservation sans limitation

Conservation sans limitation

Données en archivage intermédiaire

Non spécifié

Selon la nécessité, par exemple pour des raisons comptables, fiscales ou probatoires

Données avec obligation légale

Non spécifié précisément

Plus longtemps, pour répondre à des obligations comptables, sociales ou fiscales

L'information des personnes concernées : obligations précisées par le nouveau référentiel juillet 2023

L’évolution de la réglementation de la CNIL concernant les dispositifs d’alertes professionnelles reflète une tendance à renforcer l’information des personnes concernées.

Cette comparaison souligne non seulement les nuances apportées, mais aussi les ajouts et clarifications qui peuvent avoir un impact sur la manière dont les organisations mettent en œuvre et gèrent leurs dispositifs d’alertes. Voici ce tableau pour une compréhension approfondie des deux versions.

Points de Comparaison

Ancienne Version

Nouvelle Version

Responsabilité du responsable de traitementLe responsable de traitement doit assurer le respect des principes de transparence et de loyauté à l’égard des personnes dont les données peuvent être traitées.Identique, mais formulé différemment. La nouvelle version utilise “DAP” pour désigner le dispositif d’alertes professionnelles.
Identification des personnes concernéesDistingue entre “personnes potentiellement concernées” et “personnes concernées”. Les catégories de personnes sont listées.Identique dans la distinction, mais le texte est reformulé. Les catégories de personnes sont les mêmes, mais présentées de manière plus concise.
Contenu de l’information à délivrerL’information doit être conforme aux articles 12, 13, et 14 du RGPD. Elle doit mentionner l’existence du traitement, ses caractéristiques, et les droits des personnes concernées.En plus des points mentionnés dans l’ancienne version, la nouvelle version spécifie également les droits d’accès, de rectification, d’effacement, et d’autres détails.
Modalités de l’informationDescription générale des modalités d’information, comprenant les consultations préalables, l’information générale lors du déploiement, et des informations spécifiques pour le lanceur d’alerte et la personne visée.La structure est similaire, mais la nouvelle version ajoute des recommandations, comme celle de rendre compte régulièrement aux instances représentatives du personnel.
Consultations préalablesLe responsable de traitement doit respecter l’obligation d’informer et/ou de consulter les instances compétentes lors de la mise en place des dispositifs d’alerte.En plus de la consultation, la nouvelle version recommande de rendre régulièrement compte de l’utilisation des DAP aux instances représentatives du personnel.
Information générale lors du déploiementL’ensemble des personnes potentiellement concernées par le dispositif doit être informé préalablement à son introduction. Le contenu de cette information est détaillé.La nouvelle version recommande que si l’information individuelle ou collective est difficile, le responsable de traitement devrait rendre cette information accessible via le site web de l’entité.
Information spécifique du lanceur de l’alerteLes personnes doivent être informées dès le début du processus. Les détails sur l’accusé de réception et d’autres éléments spécifiques sont fournis.La nouvelle version détaille la manière dont l’information doit être fournie selon le mode de signalement, que ce soit en ligne, par courrier, etc. Elle précise également les obligations selon la loi Sapin 2 modifiée.
Information spécifique de la personne viséeLe responsable de traitement doit informer la personne visée par une alerte dans un “délai raisonnable”, généralement un mois après l’émission de l’alerte.La nouvelle version spécifie que ce délai ne peut dépasser un mois sauf “exception dûment justifiée”. Elle détaille également les situations où l’information peut être différée.

Droits des personnes concernées par le traitement des données personnelles

L’ancienne et la nouvelle version soulignent toutes deux l’importance des droits des personnes en vertu du RGPD, mais la nouvelle version offre une formulation légèrement modifiée pour une clarté accrue.

Les personnes concernées

La CNIL a clarifié et approfondi la définition des « personnes concernées » dans son nouveau référentiel. Selon la mise à jour, sont considérées comme « personnes potentiellement concernées » par un dispositif d’alerte professionnelle (DAP) toutes les personnes susceptibles d’émettre un signalement via le DAP ou d’être visées par une alerte. Cela inclut :

  • Les effectifs propres de l’organisme, quelle que soit la nature de leur collaboration (salariés, agents, intérimaires, stagiaires, bénévoles, etc.).
  • Les collaborateurs externes, clients et fournisseurs, lorsqu’il s’agit de personnes physiques ayant un lien contractuel direct avec l’organisme.
  • Les effectifs des entités ayant un lien contractuel avec l’organisme concerné.

De plus, sont considérées comme « personnes concernées » toutes les personnes physiques dont les données sont réellement traitées dans le cadre du DAP, notamment les auteurs des alertes, les personnes visées, et même celles qui pourraient fournir des informations sur le signalement, qu’elles soient nommées ou non.

Contenu de l’information à délivrer

La transparence et la clarté sont au cœur des modifications apportées par la CNIL. L’information communiquée aux personnes concernées doit, selon le RGPD :

  • Mentionner l’existence du traitement.
  • Détail les caractéristiques du traitement, comme les finalités, les types de données concernées, les étapes de la procédure déclenchée par l’alerte, et les durées de conservation des données.
  • Informer sur les droits d’accès, de rectification et d’effacement dont disposent les personnes concernées.
  • Préciser les règles en cas de transfert hors de l’Union Européenne.
  • Mentionner le droit d’introduire une plainte auprès de l’autorité compétente.

La CNIL propose également des modèles d’information sur son site, pour aider les organisations à se conformer à ces exigences.

Droit d’accès :

  1. Protection des droits et libertés d’autrui : Toute personne dont les données à caractère personnel font ou ont fait l’objet d’un traitement dans le cadre d’une alerte professionnelle (lanceur de l’alerte, victimes présumées des faits, personnes visées par l’alerte,témoins et personnes entendues lors de l’enquête, facilitateurs, personnes protégées par ricochet, etc.), a le droit d’y avoir accès conformément aux dispositions de l’art. 15 du RGPD. Toutefois, la nouvelle version souligne que l’exercice du droit d’accès ne doit pas porter atteinte aux droits et libertés d’autres personnes, en particulier en ce qui concerne le secret des affaires et la propriété intellectuelle. C’est une clarification importante car cela signifie que, bien que les personnes aient le droit d’accéder à leurs données, ce droit est limité si l’accès risque de révéler des informations protégées concernant d’autres personnes ou des secrets commerciaux. Néanmoins, cette limitation ne peut pas avoir pour conséquence de priver la personne concernée d’accès à la totalité des informations visées à l’article 15.1 du RGPD. Enfin, cette limitation est propre aux règles relatives à la protection des données personnelles et ne fait pas obstacle à l’application, le cas échéant, des règles du droit processuel et des libertés fondamentales (et notamment du principe du contradictoire).

  2. Référence aux lignes directrices du CEPD : La nouvelle version fait référence aux “lignes directrices du CEPD n° 01/2022 sur le droit d’accès”. Cette inclusion guide les organisations vers une ressource supplémentaire qui détaille comment gérer les demandes d’accès conformément aux normes européennes.

Droit d’opposition :

  1. Détails sur l’exercice du droit d’opposition : La nouvelle version détaille les conditions dans lesquelles le droit d’opposition peut être exercé. Par exemple, elle spécifie que le droit d’opposition ne peut pas être exercé pour les traitements nécessaires au respect d’une obligation légale à laquelle est soumis le responsable du traitement.

  2. Considération individuelle des demandes d’opposition : En toute logique, lorsqu’un organisme se dote d’un DAP sur une base purement volontaire, le droit d’opposition peut être exercé. Toutefois, la mise à jour insiste sur le fait que chaque demande d’opposition doit être examinée individuellement, en tenant compte de la situation spécifique de la personne. Cela met l’accent sur la nécessité d’une approche personnalisée et non automatisée.

Droits de rectification et d’effacement :

  1. Limitation de la rectification : La nouvelle version précise que le droit de rectification ne doit pas permettre la modification rétroactive des éléments d’une alerte. De plus, la rectification devrait être limitée aux données factuelles qui peuvent être vérifiées. Cette précision garantit que le contexte original et la chronologie des alertes ne sont pas altérés.

  2. Référence à l’article 17 du RGPD : En ce qui concerne le droit à l’effacement, la nouvelle version se réfère explicitement à l’article 17 du RGPD. Cela renforce la base réglementaire et offre une direction claire aux organisations sur la manière de traiter les demandes d’effacement.

En somme, la nouvelle version du référentiel de la CNIL apporte des clarifications essentielles pour aider les organisations à comprendre leurs obligations en matière de traitement des données dans le contexte des alertes professionnelles. Ces précisions garantissent une meilleure protection des droits des individus tout en offrant aux organisations une ligne directrice claire sur la manière de se conformer aux réglementations.

La mise à jour du référentiel de la CNIL reflète une évolution continue dans la manière dont les lanceurs d’alerte sont perçus et protégés. Ces changements, bien que parfois subtils, ont des implications profondes pour les entreprises et les organisations. Pour ceux qui souhaitent naviguer dans ces eaux parfois tumultueuses et s’assurer qu’ils sont en conformité avec les dernières directives, une formation approfondie est essentielle.

Si vous êtes intéressé par une compréhension plus approfondie des lanceurs d’alerte et des obligations qui en découlent, nous vous invitons à suivre nos formations dédiées sur le sujet. Nous abordons en détail les meilleures pratiques, les nuances juridiques et les méthodes pour mettre en place un système d’alerte efficace et conforme. Assurez-vous de rester informé et protégé en cette ère de transparence accrue. Nous sommes là pour vous guider à chaque étape du chemin.

Partager cette publication

Auteur

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Afficher les articles connexes

05Mai

Devenir Référent Harcèlement : Un Rôle Clé Pour Prévenir et Gérer les Situations de Harcèlement au Travail

Le harcèlement moral et sexuel au travail est un problème sérieux qui peut avoir des conséquences graves pour les victimes... Lire la suite

07Avr

Lexique du cyber-harcèlement au travail

IntroductionLexique du cyber-harcèlement au travailLe cyber harcèlement au travail est un défi persistant dans l'ère numérique, brouillant les lignes entre... Lire la suite

22Oct

Les fondamentaux de l’analyse du risque financier en 2023 : Approches et outils pour les professionnels

En 2023, l'analyse du risque financier est au cœur des décisions financièresDans le paysage économique en constante évolution de 2023,... Lire la suite

20Mar

Harcèlement en entreprise : un fléau grandissant et les solutions pour l’endiguer

Le harcèlement en entreprise, qu'il soit moral ou sexuel, est un problème de plus en plus préoccupant. Face à cette... Lire la suite

01Août

10 choses à savoir pour comprendre, identifier et lutter contre le harcèlement scolaire

Le harcèlement scolaire est un problème persistant qui touche des élèves du monde entier, indépendamment de leur âge, sexe, origine... Lire la suite

25Août

Comment se protéger des ransomwares ?

Ransomwares : Est-ce que votre entreprise est vraiment sécurisée ? Dans le monde numérique d'aujourd'hui, la menace croissante des ransomwares est... Lire la suite

loi Sapin II lanceur d'alertes dispositif pour les entreprises
19Juil

Loi Sapin II et lanceurs d’alerte : Une analyse détaillée du formulaire de recueil d’alerte

La loi Sapin II, en faveur des lanceurs d'alerte, établit une obligation de recueil des alertes. Ce recueil nécessite la... Lire la suite

Le lexique du lanceur d’alerte
07Mar

Le lexique du lanceur d’alerte

Comprendre la sémantique autour des lanceurs d'alerte est capital pour saisir les nuances de leurs droits, responsabilités, et des protections... Lire la suite

13Mai

L’incroyable évolution des marketplaces internet

Qu'est une marketplaces ? Une marketplace est une plateforme en ligne qui permet à des vendeurs tiers de proposer leurs produits... Lire la suite

Droit à la déconnexion et hyperconnectivité
02Nov

Le droit à la déconnexion : Une réponse au défi de la santé mentale en télétravail

Droit à la déconnexion : comprendre le régime et l'intérêt Lire la suite

Besoin d'aide ?