Le référentiel relatif au dispositif d’alertes professionnelles en questions

Un dispositif d’alertes professionnelles (ou DAP) est un outil permettant à une personne (salarié, cocontractant, tiers…) de porter à la connaissance d’un organisme une situation, un comportement ou un risque susceptible de caractériser une infraction ou une violation de règles éthiques adoptées par l’organisme en question, tel qu’un manquement à une charte ou à un code de conduite.

Ce dispositif peut prendre les formes suivantes :

• un portail intra- ou internet ;
• une adresse électronique dédiée ;
• une ligne téléphonique ;
• etc.

Il s’ajoute aux autres possibilités de remontée d’alertes, telle que la voie hiérarchique.

La mise en place d’un DAP, qui s’accompagne souvent de la création de référents éthiques, poursuit le double objectif de créer un circuit de réaction rapide et simplifié aux manquements attribuables à l’organisme ou à ses proposés et d’améliorer la transparence interne et externe de l’organisme.

La mise en place de tels dispositifs peut, dans certains cas, être rendue obligatoire par la loi : c’est souvent le cas pour les organismes dépassant une certaine taille ou exerçant ses activités dans un domaine spécifique tel que le secteur financier.

Les organismes qui ne seraient pas soumis une obligation légale peuvent cependant choisir de mettre en place un DAP à leur propre initiative, dans les mêmes conditions que le dispositif légal ou pour faire respecter une charte ou un code dont il est lui-même auteur.

Le référentiel « alertes professionnelles » vise à encadrer l’ensemble des dispositifs d’alerte professionnelle en fournissant aux organismes concernés un cadre unique aux dispositifs dont ils voudraient ou devraient se doter.

Si le référentiel vise à garantir le respect des obligations en matière de traitement de données à caractère personnel, il appartient à chaque organisme de s’assurer de sa conformité aux obligations auxquelles il est soumis.

A cette fin, vous pouvez notamment vous reporter aux recommandations de l’Agence Française Anticorruption (AFA) destinées à aider les personnes morales de droit public et de droit privé à prévenir et à détecter les faits de corruption, de trafic d’influence, de concussion, de prise illégale d’intérêt, de détournement de fonds publics et de favoritisme.

L’expression « alertes éthiques » désigne les signalements émis via des dispositifs d’alertes qui ne sont pas prévus par un texte législatif ou règlementaire.

De nombreux organismes décident en effet, de leur propre initiative, de se doter de « règles » internes (telles que des « chartes éthiques ») qui peuvent notamment prévoir la mise en place de DAP.

Ces situations sont à distinguer de la mise en place volontaire d’un DAP prévu par une réglementation, bien que l’organisme n’y soit pas soumis.

Il est également possible qu’un seul dispositif permette le recueil d’alertes de deux types à la fois.

Bien que le référentiel ait vocation à encadrer tous les types de dispositifs (éthiques, imposés par la loi ou mixtes), les DAP mis en œuvre à la seule initiative de l’organisme doivent faire l’objet d’une attention particulière. En effet, si les risques posés par l’ensemble de ces dispositifs (éthiques, imposés par la loi et mixtes) sont comparables, il n’en demeure pas moins qu’aucune norme spécifique ne vient les limiter dans le cas des dispositifs mis en place à la seule initiative de l’organisme.

Dans la mesure où leur fonctionnement n’est pas légalement encadré, il incombe à chaque responsable de traitement de prévoir soi-même des mesures à même de garantir le respect des droits et libertés des personnes concernées.

Par ailleurs, si le référentiel encadre les questions de protection des données personnelles, l’organisme devra veiller au respect de l’ensemble de ses obligations.

Les obligations portées par le RGPD s’appliquent à tous les traitements, anciens comme nouveaux, et nécessitent que le responsable de traitement prennent notamment les mesures suivantes :

• Inscrire le dispositif de recueil des alertes professionnelles dans le registre des traitements : vous pouvez pour ce faire vous aider des modèles proposés par la CNIL.
• Effectuer une analyse d’impact relative à la protection des données (AIPD) dans la mesure où ces dispositifs sont inscrits dans la liste des types d’opérations de traitement pour lesquelles une analyse d’impact est requise. La CNIL vous aide à mener à bien cette analyse au travers d’un outil gratuit et de guides pratiques.
• Informer les personnes concernées dans les conditions prévues par le référentiel qui intègre les nouvelles mentions prévues par le RGPD. Pour plus d’informations, vous pouvez consulter la page dédiée sur le site de la CNIL ainsi que les lignes directrices du CEPD sur la transparence).

L’obligation d’informer, et le cas échéant, de consulter les IRP résulte notamment des dispositions du Code du travail ou des différents décrets de la fonction publique : la Commission n’est dès lors pas compétente d’interpréter ces dispositions.

Elle estime néanmoins que l’information des IRP quant aux conditions de mise en œuvre de ce dispositif est une garantie supplémentaire de transparence, susceptible de faciliter l’exercice des droits conférés aux personnes concernées.

Oui, il est tout à fait possible d’externaliser la gestion d’un dispositif d’alerte sous réserve de respecter certaines conditions.

Lorsque le prestataire auquel vous avez recours traite les données en votre nom et pour votre compte, il doit alors être qualifié de sous-traitant et soumis aux obligations prévues par l’article 28 du RGPD.

En savoir plus sur les obligations des sous-traitants.

Le responsable du traitement est libre dans le choix des moyens matériels et humains affectés au traitement d’alertes professionnelles, sauf à ce qu’il soit contraint par certaines dispositions légales spécifiques.

Quelle que soit l’architecture retenue, il incombe au responsable de traitement de s’assurer du respect des exigences posées par le référentiel « alertes professionnelles » ou, s’il décide de s’en écarter, de justifier ces choix au regard de la réglementation en matière de la protection des données.

Étant donné le caractère potentiellement sensible des données susceptibles d’être traitées dans le cadre des DAP et afin de répondre aux attentes légitimes des auteurs de signalements, et éviter les conséquences négatives éventuelles, les accès à de tels traitements doivent se faire dans des conditions garantissant la stricte confidentialité des informations collectées.

Cela signifie concrètement que seules les personnes directement chargées de l’instruction des alertes et/ou celles qui participent directement à la prise de décision quant aux suites à donner à l’alerte, doivent pouvoir accéder aux données traitées dans le cadre du dispositif.

Cette restriction ne fait pas obstacle à l’application de dispositions légales spécifiques, notamment celles relatives aux pouvoirs d’enquête des autorités publiques, etc.

De nombreux signalements collectés via le DAP nécessitent, par leur nature même, de prendre en compte des données sensibles : tel est le cas par exemple d’un signalement d’un fait de discrimination, ou encore d’un cas de harcèlement sexuel donc aurait été témoin le lanceur d’alerte.

Ces données sensibles (relatives à la santé, aux préférences sexuelles, aux opinions politiques, aux activités syndicales, etc.) font l’objet d’une protection particulière par l’article 9 du RGPD qui en interdit le traitement sauf à pouvoir bénéficier d’une des exceptions prévues.

Dans le cadre des DAP, ces données peuvent notamment être traitées dès lors qu’elles sont nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice. Elles doivent présenter un lien direct et étroit avec les situations ou les risques dénoncés par le lanceur d’alerte.

Il peut parfois arriver qu’une alerte remontée par le DAP concerne un sujet important mais qui ne rentre pas strictement dans le périmètre du dispositif : c’est le cas par exemple d’une proposition d’amélioration du service qui ne fait état d’aucun fait contraire à la règlementation ou aux valeurs éthiques de l’organisme.

Compte tenu des finalités spécifiques poursuivis par les DAP, et dans l’intérêt de l’auteur de ce signalement, les services chargés de la gestion du dispositif doivent traiter ces remontées dans des conditions garantissant leur stricte confidentialité.

Dans ces conditions, le responsable de traitement devra informer le lanceur d’alerte du fait que son signalement ne peut pas être traité dans le cadre du DAP et sera dès lors effacé du traitement (ou anonymisé, le cas échéant). A cette occasion, le responsable de traitement peut également orienter l’auteur du signalement vers un autre service compétent.

Le choix du régime applicable à une alerte est susceptible d’avoir de nombreuses conséquences juridiques, notamment en ce qui concerne :

• les droits des personnes concernées ;
• les mentions d’information à apporter aux personnes concernées ;
• l’évaluation de la proportionnalité des données collectées par rapport aux objectifs poursuivis ;
• les durées de conservations (parfois directement encadrées par les textes).

Dans ces conditions, les organismes qui souhaitent se doter d’un DAP unique pour gérer plusieurs types d’alertes professionnelles à la fois, ont la responsabilité de déterminer, en amont de la mise en place du dispositif, les mesures organisationnelles et/ou techniques permettant d’identifier le régime approprié pour chaque alerte reçue.

La délivrance d’un récépissé vise à apporter à son auteur la preuve de l’existence et du contenu de son signalement. Ce récépissé doit donc contenir  au moins la date et l’heure à laquelle le signalement a été effectué, et rappeler les éléments communiquées dans cette alerte.

Si les informations ont été saisies au travers d’un questionnaire, les questions et les réponses doivent être reproduites ensemble.

Lorsque le signalement comporte des pièces jointes (documents scannés, images photo ou vidéo, etc.), le récépissé doit comporter des informations permettant de contrôler l’intégrité de ces annexes après leur réception par le responsable de traitement (par exemple, en faisant apparaitre le résultat du calcul d’empreinte ou hash).

La CNIL recommande par ailleurs que des mesures techniques appropriées soient prévues par le responsable de traitement en vue d’assurer l’intégrité du récépissé.