A la suite de la transposition de la directive relative à la protection des lanceurs d’alerte en droit français (1), la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis à jour cet été son référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alerte.

Il s’agit donc d’une nouvelle version du référentiel, adoptée par délibération CNIL n°2023-064 du 6 juillet 2023 portant abrogation de la délibération n°2019-139 du 18 juillet 2019 (JO du 21 juillet 2023).

Fidèle à son pragmatisme, la CNIL souhaite, à travers ce nouvel «outil d’aide à la mise en conformité» (2), aider les entreprises qui mettent en place un dispositif de recueil et de gestion interne des alertes professionnelles – impliquant un traitement de données à caractère personnel – à assurer la conformité de celui-ci au règlement général de protection des données (RGPD).

Rappelons que ce référentiel n’ayant pas de valeur contraignante, les entreprises peuvent écarter son application. Néanmoins, dans ce cas, selon la CNIL, «il leur appartient néanmoins de justifier et de documenter ce besoin et les mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel» (3).

Des recommandations pratiques sont donc délivrées sur la manière de concilier les exigences de la loi Sapin II (telle que modifiée) (4) avec celles propres au droit de la protection des données personnelles.

En sus de nouvelles précisions sur les durées de conservation des données et les mesures de sécurité à mettre en place dans le cadre des dispositifs d’alerte professionnelle, la CNIL apporte un éclairage utile concernant :

• • l’externalisation des canaux de réception ou de traitement des alertes ;

• • le traitement des signalements anonymes ; et

• • les modalités d’information des personnes.

L’externalisation des canaux de réception ou de traitement des alertes

La CNIL rappelle que le recours à l’externalisation – ou la mutualisation des opérations liées à la mise en œuvre des dispositifs d’alerte comme c’est souvent le cas dans les groupes de sociétés – est susceptible d’entrainer, pour les sociétés concernées, la qualification de «responsable de traitement» (5), de «sous-traitant» (6) ou encore de «responsables conjoints de traitement» (7) au sens du RGPD (8).

Cette qualification a toute son importance car elle détermine le type de contrat à mettre en place entre lesdites sociétés (i.e., contrat de sous-traitance au sens de l’article 28 du RGPD (9) ou contrat de co-responsables de traitement au sens de l’article 26 du RGPD (10)).

En pratique, selon le référentiel, il incombe aux entreprises désireuses de déléguer tout ou une partie des opérations liées à la réception ou au traitement des signalements, non seulement «de mener une analyse de faisabilité juridique» (11) de l’externalisation ou de la mutualisation, mais aussi de s’assurer que le statut des sociétés délégataires concernées présente des «garanties suffisantes» (12).

Le traitement des signalements anonymes

Les dispositifs d’alerte professionnelle devant préciser les suites données aux signalements anonymes (13), les modalités de leur traitement ont été explicitées par ce référentiel.

Au sens du référentiel, «sera considéré comme un «signalement effectué de manière anonyme» tout signalement dont l’auteur aura choisi de ne pas révéler son identité (nom, prénom, fonction, identifiants, adresse de courriel nominative, etc.), peu important qu’il puisse être possible de l’identifier au terme d’une enquête ou recherche complémentaire» (14).

A cet effet, la CNIL :

♦ Rappelle que les dispositifs mis en place «devraient permettre aux auteurs d’émettre leurs signalements de manière anonyme» et ajoute que les organismes «doivent s’abstenir de toute tentative de réidentification d’un lanceur d’alerte anonyme» (15).

♦ Précise que le dispositif d’alerte doit prévoir un mécanisme permettant à l’auteur de l’alerte de poursuivre les échanges sans remettre en cause son anonymat (par exemple lui demander de fournir une adresse électronique ne permettant pas son identification ou l’adresse d’une boite postale).

♦ Précise aussi que le responsable de traitement (avec l’aide, le cas échéant, de son sous-traitant) doit vérifier qu’aucun élément ne rend possible la réidentification – directe ou indirecte – des auteurs de signalements anonymes (ex. dépôt de cookies et autres traceurs sur le terminal du lanceur d’alerte, recoupement d’informations telles que les adresses IP, etc.).

Les modalités d’information des personnes

La CNIL détaille par ailleurs les modalités d’information relative aux dispositifs d’alerte à mettre en place :

♦ Dans un premier temps, lors de l’introduction du dispositif d’alerte dans l’entreprise, à l’égard de l’ensemble des personnes susceptibles d’utiliser ce dispositif. Il s’agit d’une information générale via par exemple le site web de la société, ce qui permet également l’information de personnes extérieures à la société. Toutefois, selon le référentiel, une information individuelle doit être privilégiée dans la mesure du possible (via un courrier électronique sur la messagerie personnelle ou la remise individuelle d’un document d’information).

♦ Dans un deuxième temps, à l’égard de l’auteur du signalement sur le traitement de l’alerte et ce, dès le début du processus. Les modalités d’information varient selon le mode de signalement qu’il soit effectué en ligne (via un portail ou une application dédiée) ou d’une autre manière (voie postale, courrier électronique etc.). Par exemple, dans la deuxième hypothèse, il est recommandé que ces informations soient communiquées «dans les meilleurs délais et, au plus tard, au moment de l’envoi de l’accusé de réception de l’alerte» (16). Quel que soit le régime applicable au signalement, un accusé réception doit être fourni à l’auteur de l’alerte.

De plus, dans le cadre de la loi Sapin II, l’auteur du signalement doit également être informé des mesures envisagées ou prises pour évaluer l’exactitude des allégations et, le cas échéant, remédier à l’objet du signalement, ainsi que sur les motifs de ces dernières (17). Cette information doit, selon le référentiel, être effectuée par écrit et ne peut pas être subordonnée à la fourniture, le cas échéant, d’informations qui permettraient d’identifier le lanceur d’alerte, seul un moyen de contacter le lanceur d’alerte étant nécessaire.

Ainsi, outre une revue des dispositifs d’alerte en place pour s’assurer du respect des dispositions de la loi Sapin II (telle que modifiée), il est recommandé de se conformer au nouveau référentiel CNIL en la matière.

Ludovique CLAVREUL, Avocate Counsel, CMS Francis Lefebvre Avocats

Sophie MONTAGNE, Avocate Senior, CMS Francis Lefebvre Avocats

Actualités sociales de l’été 2023 : quels sont les points essentiels ? (cms.law)

Loi sur le renforcement de la protection des lanceurs d’alerte est publiée (cms.law)

(1) Directive (UE) 2019/1937 du parlement européen et du conseil du 23 octobre 2019 sur la protection des personnes qui signalent des infractions au droit de l’Union. Loi n°2022-401 du 21 mars 2022 et décret n°2022-1284 du 3 octobre 2022.

(2) Référentiel CNIL relatif aux dispositifs d’alerte professionnelle § 2.7 (p.2).

(3) Référentiel CNIL relatif aux dispositifs d’alerte professionnelle § 2.8 (p.2).

(4) Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique instaurant une obligation de mise en place de dispositifs d’alerte dans certaines entreprises, modifiée par la loi n°2022-401 du 21 mars 2022 dite loi Waserman, visant à améliorer la protection des lanceurs d’alerte.

(5) « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement » (Article 4.7. du RGPD).

(6) « La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement » (Article 4.8. du RGPD).

(7) « Lorsque deux responsables du traitement ou plus déterminent conjointement les finalités et les moyens du traitement, ils sont les responsables conjoints du traitement » (Article 26 du RGPD).

(8) (Règlement UE 2016/679).

(9) « Le traitement par un sous-traitant est régi par un contrat ou un autre acte juridique au titre du droit de l’Union ou du droit d’un État membre, qui lie le sous-traitant à l’égard du responsable du traitement, définit l’objet et la durée du traitement, la nature et la finalité du traitement, le type de données à caractère personnel et les catégories de personnes concernées, et les obligations et les droits du responsable du traitement. […] » (Article 28 du RGPD).

(10) « Les responsables conjoints du traitement définissent de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du présent règlement […] » (Article 26 du RGPD).

(11) Référentiel CNIL relatif aux dispositifs d’alerte professionnelle § 6.51 (p.8).

(12) Référentiel CNIL relatif aux dispositifs d’alerte professionnelle § 6.51 (p.8).

(13) Article 4 II du décret n°2022-1284 du 3 octobre 2022.

(14) Référentiel CNIL relatif aux dispositifs d’alerte professionnelle § 5.3.1 (p.6-7).

(15) Référentiel CNIL relatif aux dispositifs d’alerte professionnelle § 5.3.1 (p.6-7).

(16) Référentiel CNIL relatif aux dispositifs d’alerte professionnelle § 8 (p.11-13).

(17) Article 4.III du décret n° 2022-1284 du 3 octobre 2022 relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d’alerte et fixant la liste des autorités externes instituées par la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte.