La mise à jour du référentiel relatif aux dispositifs d’alerte professionnelle en questions

24 juillet 2023

La CNIL met à jour son référentiel « alertes professionnelles » suite à la transposition par la France de la directive européenne sur la protection des personnes qui signalent des violations du droit de l’Union. Ce document s’applique à l’ensemble des dispositifs d’alerte professionnelle, quel que soit le régime juridique qui leur est applicable. De nombreuses questions peuvent se poser en pratique.

1) Qu’est-ce qu’un dispositif d’alertes professionnelles ?


2) La définition de l'alerte du référentiel est-elle la même que celle de la nouvelle loi Sapin 2 ?


3) Le référentiel interprète-t-il la règlementation sur les lanceurs d’alerte (loi Sapin 2 modifiée notamment) ?


4) Le référentiel est-il contraignant pour les organismes ?


5) Suis-je obligé de mettre en place un DAP ?


6) Qu’est-ce qu’une « alerte éthique » ?


7) Est-il obligatoire de consulter les instances représentatives du personnel (IRP) avant la mise en place d’un DAP ?


8) La règlementation protège désormais les auteurs des signalements, mais également d'autres personnes. Que dois-je faire, concrètement, en tant que responsable de traitement ?


9) Concrètement, quels sont les principaux changements du référentiel à retenir ?


10) Est-il possible de recourir à une solution externalisée de DAP ?


11) Une architecture de dispositif (portail web ou intranet, application mobile, ligne téléphonique dédiée, boîte aux lettres, adresse mail dédiée, etc.) doit-elle être privilégiée ?


12) Un DRH, un responsable hiérarchique, un membre d’un comité d’éthique ou encore d’une organisation syndicale, etc. peut-il avoir connaissance du dossier d’une alerte ?


13) Une alerte peut contenir des données « sensibles » (opinions politiques ou syndicales, données de santé, etc.). Est-il possible de les conserver et de les utiliser ?


14) Que faire d’une alerte qui ne rentre pas dans le périmètre du dispositif d’alerte ?


15) Comment procéder, dans le cas d’un DAP qui permet la remontée de plusieurs types d’alertes (articles 6 ou 17 de la loi SAPIN, alerte devoir de vigilance, alerte éthique, etc.), lorsque le lanceur d’alerte ne précise pas le régime de son alerte ?


Document reference

Le référentiel