La mise à jour du référentiel relatif aux dispositifs d’alerte professionnelle en questions
24 juillet 2023
La CNIL met à jour son référentiel « alertes professionnelles » suite à la transposition par la France de la directive européenne sur la protection des personnes qui signalent des violations du droit de l’Union. Ce document s’applique à l’ensemble des dispositifs d’alerte professionnelle, quel que soit le régime juridique qui leur est applicable. De nombreuses questions peuvent se poser en pratique.
1) Qu’est-ce qu’un dispositif d’alertes professionnelles ?
2) La définition de l'alerte du référentiel est-elle la même que celle de la nouvelle loi Sapin 2 ?
3) Le référentiel interprète-t-il la règlementation sur les lanceurs d’alerte (loi Sapin 2 modifiée notamment) ?
4) Le référentiel est-il contraignant pour les organismes ?
5) Suis-je obligé de mettre en place un DAP ?
6) Qu’est-ce qu’une « alerte éthique » ?
7) Est-il obligatoire de consulter les instances représentatives du personnel (IRP) avant la mise en place d’un DAP ?
8) La règlementation protège désormais les auteurs des signalements, mais également d'autres personnes. Que dois-je faire, concrètement, en tant que responsable de traitement ?
9) Concrètement, quels sont les principaux changements du référentiel à retenir ?
10) Est-il possible de recourir à une solution externalisée de DAP ?
11) Une architecture de dispositif (portail web ou intranet, application mobile, ligne téléphonique dédiée, boîte aux lettres, adresse mail dédiée, etc.) doit-elle être privilégiée ?
12) Un DRH, un responsable hiérarchique, un membre d’un comité d’éthique ou encore d’une organisation syndicale, etc. peut-il avoir connaissance du dossier d’une alerte ?
13) Une alerte peut contenir des données « sensibles » (opinions politiques ou syndicales, données de santé, etc.). Est-il possible de les conserver et de les utiliser ?
14) Que faire d’une alerte qui ne rentre pas dans le périmètre du dispositif d’alerte ?
15) Comment procéder, dans le cas d’un DAP qui permet la remontée de plusieurs types d’alertes (articles 6 ou 17 de la loi SAPIN, alerte devoir de vigilance, alerte éthique, etc.), lorsque le lanceur d’alerte ne précise pas le régime de son alerte ?
Document reference
Le référentiel
Référentiel - Alertes professionnelles
[ PDF-1.06 Mo ]
Texte reference
Pour approfondir
- Guide pratique « Les enquêtes internes anti-corruption » de l’Agence Française Anti-corruption (AFA) et du Parquent National Financier (PNF) - agence-francaise-anticorruption.gouv.fr
- Guide du lanceur d'alerte (03/2023) de la Défenseure des Droits (DDD) - defenseurdesdroits.fr
- Guide pratique RGPD - Sécurité des données personnelles (PDF, 495 ko)
Texte reference
Les textes de référence
- Directive européenne n° 2019/1937 relative à la protection des lanceurs d'alerte - Eur-Lex
- Loi du 21 mars 2022 visant à améliorer la protection des lanceurs d'alerte - Vie-publique.fr
- Décret n° 2022-1284 du 3 octobre 2022 relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d'alerte et fixant la liste des autorités externes instituées par la loi n° 2022-401 du 21 mars 2022 - Légifrance