La mise à jour du référentiel relatif aux dispositifs d’alerte professionnelle en questions

Un dispositif d’alertes professionnelles (ou DAP) est un outil permettant à une personne (salarié, cocontractant, tiers…) de porter à la connaissance d’un organisme une situation, un comportement ou un risque susceptible de caractériser une violation de la loi ou de règles éthiques adoptées par l’organisme en question, tel qu’un manquement à une charte ou à un code de conduite.

Ce dispositif, qui peut prendre des formes aussi variées qu’un portail intranet ou internet, une adresse électronique dédiée, une ligne téléphonique, etc., s’ajoute aux autres possibilités de remontées d’alertes telle que la voie hiérarchique.

Non. La définition des alertes professionnelles donnée par le référentiel diffère volontairement de celle de l’article 6 de la loi Sapin 2 modifiée.

En effet, de nombreux DAP autres que le dispositif de droit commun dit d’« alerte professionnelle interne » peuvent être mis en œuvre, certains étant obligatoires, d’autres étant à la seule initiative de l’organisme lui-même.

Dans de tels cas, si la définition spécifique de ce qui est entendu par « signalement » peut varier, les traitements de données mis en œuvre par les organismes pour traiter des alertes présentent globalement les mêmes enjeux pour les droits et les libertés des personnes concernées.

Le référentiel propose donc un cadre unifié à l’ensemble des DAP en adoptant une définition large des traitements qui peuvent en bénéficier.

Non. La CNIL n’est compétente qu’en matière de traitement des données personnelles mais pas pour interpréter les autres lois et règlements. Le référentiel se concentre donc sur ces problématiques.

Chaque entité doit donc mener une expertise de sa situation juridique propose au regard de la réglementation en matière d’alertes (telle que l’étendue précise des obligations des organismes, l’articulation du régime des alertes avec le droit du travail, le droit de la procédure civile, etc.).

Pour aider les organismes de nombreux documents ont été produits sur ces questions, tels que :

• le guide du lanceur d’alerte publié en 2023 par le Défenseur des droits (DDD) ;
• les différents guides, fiches pratiques et recommandations publiés par l’Agence française anti-corruption (AFA).

Non. Le référentiel est un outil de droit souple qui n’a pas de valeur contraignante pour les organismes.

Néanmoins, les organismes qui respectent le référentiel bénéficient d’une présomption de conformité de leurs traitements de données relatifs aux alertes professionnelles.

La mise en place de tels dispositifs peut, dans certains cas, être rendue obligatoire par la loi : c’est souvent le cas pour les organismes dépassant une certaine taille ou exerçant ses activités dans un domaine spécifique tel que le secteur financier.

Ceux qui n’y sont pas obligés peuvent cependant décider de mettre en place un DAP de leur propre initiative, soit dans les mêmes conditions qu’un dispositif obligatoire, soit pour faire respecter une charte ou un code qui leur est propre.

Le référentiel « alertes professionnelles » vise à encadrer l’ensemble des dispositifs d’alerte professionnelle en fournissant aux organismes concernés un cadre unique aux dispositifs dont ils voudraient ou devraient se doter.

L’expression « alertes éthiques » désigne les signalements émis via des dispositifs d’alertes qui ne sont pas prévus par un texte législatif ou règlementaire.

De nombreux organismes décident en effet, de leur propre initiative, de se doter de « règles » internes (telles que des « chartes éthiques ») qui peuvent notamment prévoir la mise en place de DAP.

L’obligation d’informer, et le cas échéant, de consulter les IRP résulte de dispositions pour lesquelles la CNIL n’a pas de compétence d’interprétation.

Elle estime néanmoins que l’information des IRP quant aux conditions de mise en œuvre de ce dispositif est, a minima, une garantie supplémentaire de transparence, susceptible de faciliter l’exercice des droits conférés aux personnes concernées.

La loi Sapin 2 modifiée a élargi le cercle des personnes susceptibles de bénéficier du régime de protection spécifique contre les représailles du fait d’une alerte interne.

Désormais sont protégés non seulement les auteurs des signalements eux-mêmes, mais aussi les personnes qui peuvent subir des représailles « par ricochet » - c’est le cas par exemple des « facilitateurs des alertes » (c’est-à-dire les personnes qui ont aidé les auteurs à effectuer le signalement, mais qui n’en étaient pas elles-mêmes à l’origine).

Ainsi, il peut exister des personnes à protéger autres que l’auteur du signalement : cela dépend des faits concrets de chaque alerte. L’analyse doit être effectuée par l’organisme ayant reçu l’alerte.

Le référentiel permet aux responsables de traitement de traiter et conserver les données concernant l’ensemble des personnes protégées.

La plupart des évolutions s’inspirent des modifications apportées au mécanisme d’alerte professionnelle de droit commun (« alerte interne » dans le vocabulaire retenu par la loi Sapin 2 modifiée) et sont généralisées à toutes les alertes (qu’elles correspondent, ou non, à celles de l’article 6 de la loi précitée).

Outre certaines modifications de forme ou terminologiques, on peut noter :

• un élargissement des catégories des personnes auxquelles l’accès au DAP doit être garanti par l’organisme mettant en place un DAP ;
• un élargissement des finalités du traitement des données collectées dans le cadre du DAP ;
• des nouveaux développements sur les différentes phases de traitement de l’alerte ;
• une modification importante des parties relatives à la durée de conservation des alertes (concernant notamment la liste des finalités pouvant justifier la conservation des données d’alerte) ;
• des nouveaux développements sur le traitement des signalements anonymes (notion propre à la loi Sapin 2 et qui doit être distinguée de celle d’« anonymisation des données » au sens du RGPD) ;
• enfin, des contenus nouveaux sur la possibilité de confier la gestion de certaines opérations de traitement à des tiers (s’agissant notamment de la distinction entre l’« externalisation » et la « mise en commun des ressources »).

La loi Sapin 2 modifiée a introduit de nouvelles règles relatives à :

• « l’externalisation des canaux de réception des signalements », possibilité ouverte virtuellement à toutes les entités qui doivent mettre en place un dispositif d’alertes internes, mais qui ne comprend pas le traitement des signalements sur le fond ; et
• « la mise en commun des ressources » entre deux ou plusieurs organismes, laquelle permet non seulement la réception des signalements, mais aussi « l'évaluation de l'exactitude des allégations formulées dans le signalement ». Cette seconde possibilité ne semble en revanche ouverte qu’aux organismes remplissant certaines conditions, notamment celle de la taille des effectifs.

Il n’appartient cependant pas à la CNIL d’interpréter ce nouveau texte, notamment sur le point de savoir si sa rédaction est compatible avec la délégation pure et simple de l’ensemble des opérations de traitement d’un signalement, à un prestataire extérieur (plateforme en ligne, un cabinet d’avocats, etc.), pour telle ou telle catégorie d’acteurs (notamment des sociétés membres d’un groupe).

Dans ces conditions, chaque organisme doit s’assurer de la faisabilité juridique de ses projets éventuels de délégation, externalisation ou sous-traitance du traitement des alertes, en fonction de sa situation ainsi que des termes des accords proposés ou conclus avec des prestataires des services de traitement d’alerte.

Le responsable du traitement est libre dans le choix des moyens matériels et humains affectés au traitement d’alertes professionnelles, sauf à ce qu’il soit contraint par certaines dispositions légales spécifiques.

Quelle que soit l’architecture retenue, le responsable de traitement doit s’assurer du respect des exigences posées par le référentiel « alertes professionnelles » ou, s’il décide de s’en écarter, de justifier ces choix au regard de la réglementation en matière de la protection des données.

Étant donné le caractère potentiellement sensible des données susceptibles d’être traitées dans le cadre des DAP et afin de répondre aux attentes légitimes des auteurs de signalements, et éviter les conséquences négatives éventuelles, les accès à de tels traitements doivent se faire dans des conditions garantissant la stricte confidentialité des informations collectées.

Cela signifie concrètement que seules les personnes directement chargées de l’instruction des alertes et/ou celles qui participent directement à la prise de décision quant aux suites à donner à l’alerte, doivent pouvoir accéder aux données traitées dans le cadre du dispositif.

Cette restriction ne fait pas obstacle à l’application de dispositions légales spécifiques, notamment celles relatives aux pouvoirs d’enquête des autorités publiques, etc.

De nombreux signalements collectés via le DAP nécessitent, par leur nature même, de prendre en compte des données sensibles : tel est le cas par exemple d’un signalement d’un fait de discrimination, ou encore d’un cas de harcèlement sexuel dont aurait été témoin le lanceur d’alerte.

Ces données sensibles (relatives à la santé, aux préférences sexuelles, aux opinions politiques, aux activités syndicales, etc.) font l’objet d’une protection particulière par l’article 9 du RGPD, qui en interdit le traitement sauf exceptions.

La CNIL considère qu’un DAP mis en place pour répondre à une obligation légale répond à un « motif d’intérêt public important » au sens de l’article 9.2.f du RGPD : dans ce cas, les données sensibles peuvent être traitées dans le cadre de tels DAP si leur prise en compte est nécessaire pour le traitement du signalement.

Les organismes mettant en place des DAP en dehors d’une obligation légale peuvent notamment traiter des données sensibles si cela est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice.

Dans tous les cas, les données sensibles doivent présenter un lien direct et étroit avec les situations ou les risques dénoncés par le lanceur d’alerte.

Il peut parfois arriver qu’une alerte remontée par le DAP concerne un sujet important mais qui ne rentre pas strictement dans le périmètre du dispositif : c’est le cas par exemple d’une proposition d’amélioration du service qui ne fait état d’aucun fait contraire à la règlementation ou aux valeurs éthiques de l’organisme.

Compte tenu des finalités spécifiques poursuivis par les DAP, et dans l’intérêt de l’auteur de ce signalement, les services chargés de la gestion du dispositif doivent traiter ces remontées dans des conditions garantissant leur stricte confidentialité.

Dans ces conditions, le responsable de traitement devra informer le lanceur d’alerte du fait que son signalement ne peut pas être traité dans le cadre du DAP et sera dès lors effacé du traitement (ou anonymisé, le cas échéant). A cette occasion, le responsable de traitement peut également orienter l’auteur du signalement vers un autre service compétent.

Le choix du régime applicable à une alerte est susceptible d’avoir de nombreuses conséquences juridiques, notamment en ce qui concerne :

• les droits des personnes concernées ;
• les mentions d’information à apporter aux personnes concernées ;
• l’évaluation de la proportionnalité des données collectées par rapport aux objectifs poursuivis ;
• les durées de conservations (parfois directement encadrées par les textes) ;

Dans ces conditions, les organismes qui souhaitent se doter d’un DAP unique pour gérer plusieurs types d’alertes professionnelles à la fois, ont la responsabilité de déterminer, en amont de la mise en place du dispositif, les mesures organisationnelles et/ou techniques permettant d’identifier le régime approprié pour chaque alerte reçue.