Lanceurs d’alerte : adresser une alerte à la CNIL

24 novembre 2022

La CNIL a mis en place un dispositif spécifique pour recueillir et traiter les signalements des lanceurs d’alerte. Elle précise qui est concerné et comment faire.

Sur quoi peut porter une alerte à la CNIL ?

Les signalements des lanceurs d'alerte auprès de la CNIL doivent concerner un manquement relevant de la règlementation en matière de protection des données personnelles (RGPD, loi Informatique et Libertés, etc.), y compris en matière de cybersécurité.

L’alerte doit porter sur des faits qui se sont produits ou pour lesquels il existe une forte probabilité qu'ils se produisent.

Si votre signalement porte également sur un autre type de manquement prévu par le décret du 3 octobre 2022, la CNIL pourra transmettre le signalement au Défenseur des droits ou se mettre en relation avec l’organisme externe compétent pour celui-ci.

Par exemple, un signalement relatif à un manquement au droit de la consommation sera transmis à la DGCCRF.

Comment choisir entre plainte et alerte auprès de la CNIL ?

Pour les cas en lien avec une situation strictement individuelle, même s’il est possible d’alerter la CNIL pour obtenir la résolution d’une situation personnelle, il apparaît plus adapté de saisir la CNIL d’une plainte.

Par ailleurs, la résolution de certaines difficultés rencontrées nécessite la communication au mis en cause, et éventuellement à d’autres personnes ou organismes, des données permettant de vous identifier. Dans ces circonstances, la CNIL n’est pas en capacité de conserver votre anonymat.

Par exemple, si vous souhaitez que la CNIL intervienne pour vous aider auprès d’un organisme qui n’aurait pas répondu à votre demande d’exercice d'un droit d’accès, il vous faudra adresser une plainte. Son instruction nécessitera de communiquer votre identité à l’organisme concerné pour que vous obteniez la communication de vos données personnelles. 

Êtes-vous lanceur d’alerte ?

Conformément à la législation, ce dispositif de la CNIL est réservé aux personnes physiques identifiées qui signalent ou divulguent, sans contrepartie financière directe et de bonne foi, des informations portant sur les données personnelles, et plus particulièrement :

  • une violation du droit de l'Union européenne, de la loi Informatique et Libertés ou du règlement général sur la protection des données (RGPD) ;
  • un crime ;
  • un délit ;
  • une menace ou un préjudice pour l'intérêt général ;
  • une autre violation ou une tentative de dissimulation d'une violation :
    • d'un engagement international régulièrement ratifié ou approuvé par la France ;
    • d'un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement.

Lorsque les informations n'ont pas été obtenues dans le cadre des activités professionnelles, vous devez en avoir eu personnellement connaissance.

Le lanceur doit-il respecter une procédure spécifique avant de saisir la CNIL ?

Le lanceur d'alerte n'est pas obligé d'effectuer un signalement interne avant d'effectuer un signalement auprès de la CNIL. Toutefois, lorsqu'une procédure interne de signalement existe au sein même de l'organisme mis en cause, nous vous invitons à l'utiliser si cela ne vous expose pas au risque de faire l'objet de mesures de représailles et en l'absence de risque de destruction de preuves.

Si utiliser la procédure interne vous expose à des risques ou si celle-ci n’existe pas, vous êtes invités à effectuer directement un signalement à la CNIL.

Comment faire une alerte à la CNIL ?

La CNIL vous invite à indiquer clairement votre statut de lanceur d’alerte en nous contactant : 

  • par voie postale au : 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07 ;
  • par voie électronique en utilisant le téléservice proposé ;
  • par téléphone : au 01 53 73 22 22, les communications ne sont pas enregistrées.

La protection du lanceur d'alerte

Garantie de confidentialité de l'identité

La confidentialité de l'identité des auteurs du signalement, des personnes visées et de tout tiers mentionné dans le signalement est garantie.

Les éléments de nature à identifier le lanceur d'alerte ne peuvent pas être divulgués sans son accord. Ils peuvent cependant être transmis à l'autorité judiciaire, dans certains cas.

Lorsque les personnes chargées du recueil ou du traitement des signalements doivent dénoncer les faits recueillis à l'autorité judiciaire, les éléments de nature à identifier le lanceur d'alerte peuvent également lui être communiqués. Dans ce cas, le lanceur d'alerte en est informé.

Irresponsabilité civile

Lorsque la procédure de signalement ou de divulgation publique est respectée, les bénéficiaires de la protection ne pourront pas être condamnés à verser des dommages et intérêts pour les dommages causés par ce signalement ou cette divulgation publique.

Le lanceur d'alerte doit avoir eu des motifs raisonnables de croire que cette procédure était nécessaire à la sauvegarde des intérêts menacés.

Irresponsabilité pénale

Lorsque la procédure de signalement ou de divulgation publique est respectée, les bénéficiaires de la protection ne sont pas responsables pénalement.

Cette irresponsabilité s'applique aux infractions éventuellement commises pour obtenir les documents permettant de prouver les informations signalées ou divulguées.

Néanmoins, il ne doit pas y avoir eu infraction pour obtenir les informations proprement dites.

Protection contre des mesures de représailles, notamment disciplinaires

La protection porte sur toute mesures de représailles qui prendraient notamment l'une des formes suivantes :

  • Suspension, mise à pied, licenciement
  • Rétrogradation ou refus de promotion
  • Transfert de fonctions, changement de lieu de travail, réduction de salaire
  • Suspension de la formation
  • Évaluation de performance négative
  • Mesures disciplinaires
  • Discrimination
  • Non-renouvellement d'un contrat de travail à durée déterminée ou d'un contrat de travail temporaire

Il vous appartiendra de vous prévaloir devant le juge de votre qualité de lanceur d’alerte pour demander l’annulation d’une mesure de représailles ou vous défendre dans une procédure civile ou pénale.

Les suites du signalement

La procédure mise en œuvre par la CNIL garantit l’intégrité et la confidentialité des informations recueillies dans le cadre d’une alerte et, plus particulièrement, l’anonymat du lanceur d’alerte.

Dans le cadre du traitement d’une alerte, la CNIL est susceptible de vous demander tout élément qu’elle jugerait nécessaire à l’appréciation de l’exactitude des allégations formulées. Dans les mêmes conditions, la CNIL pourrait vous fournir des conseils confidentiels.

La CNIL peut engager diverses actions lorsqu’un lanceur d’alerte lui adresse un signalement :

  • elle peut procéder à sa clôture lorsqu'il est devenu sans objet ou lorsque les allégations sont inexactes, infondées, manifestement mineures, ou ne contiennent aucune nouvelle information significative par rapport à un signalement déjà clôturé ;
  • elle peut également effectuer des contrôles voire prononcer des sanctions si elle considère que ce qui lui a été signalé le justifie.

Pour toute question sur le statut des lanceurs d'alerte, vous pouvez contacter le Défenseur des droits, en charge de coordonner l’action des autorités externes en matière de signalement de lanceurs d’alerte :

  • par téléphone au 09 69 39 00 00 ;
  • par voie électronique ;
  • par courrier gratuit sans affranchissement à : Défenseur des droits - Libre réponse 71120 - 75342 Paris CEDEX 07