La loi n°2016-1691 du 9 décembre 2016 dite loi « Sapin II » a renforcé les obligations des entreprises en matière de lutte contre la corruption et imposé, via son article 17, aux entreprises employant au moins 500 salariés (ou appartenant à un groupe de sociétés dont la mère a son siège social en France et comprend au moins 500 salariés) et dont le chiffre d’affaires dépasse 100 millions d’euros, la mise en place d’un dispositif d’alerte professionnelle (DAP).
L’article 8 de la même loi prévoit, en outre, l’obligation pour les personnes morales d’au moins 50 salariés de mettre en place une procédure de recueil des alertes relatives notamment à des délits comme le harcèlement sexuel.
En raison du caractère personnel des données recueillies, ce DAP était, jusqu’à récemment, encadré par une délibération de la Commission Nationale de l’Informatique et des Libertés (CNIL) n° 2017-191 du 22 juin 2017 portant modification de la délibération n° 2005-305 du
8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (AU-004).
À la suite d’une consultation publique, la CNIL a adopté, par délibération n° 2019-139 du
18 juillet 2019, publiée au Journal Officiel le 10 décembre 2019, le référentiel relatif aux dispositifs d’alertes professionnelles (DAP).
Ce référentiel a vocation à s’appliquer tant aux organismes qui sont tenus de mettre en œuvre un dispositif de recueil et de gestion des alertes professionnelles, qu’à ceux qui décideraient, sans obligation légale, de le mettre en œuvre, notamment aux fins de prohiber les comportements jugés incompatibles avec leur charte éthique ou leur règlement intérieur.
Il vient remplacer l’autorisation unique AU-004, qui n’a plus de valeur juridique depuis l’entrée en vigueur du RGPD.
Il actualise et consolide la doctrine de la CNIL sur les alertes professionnelles, en intégrant les évolutions liées à l’entrée en application du RGPD et à la modification de la loi « Informatique et Libertés ».
Il anticipe, par ailleurs, certaines évolutions introduites par la directive européenne relative à la protection des lanceurs d’alerte dont le texte a été adopté début octobre par le Conseil de l’Union européenne, pour une application effective prévue à partir de 2021.
Il doit être respecté par tout employeur qui a à traiter des données à caractère personnel, notamment relatives à ses salariés, dans le cadre de tels dispositifs d’alertes, de façon à respecter tant les dispositions du RGPD que celles de la loi Informatique et Liberté.
Pour rappel, un dispositif d’alertes professionnelles (ou DAP) est un outil permettant à une personne (salarié, cocontractant, tiers…) de porter à la connaissance d’un organisme une situation, un comportement ou un risque susceptible de caractériser une infraction ou une violation de règles éthiques adoptées par l’organisme en question, tel qu’un manquement à une charte ou à un code de conduite.
Ce dispositif peut prendre les formes suivantes :
- un portail intranet ou internet ;
- une adresse électronique dédiée ;
- une ligne téléphonique ;
- etc.
Il s’ajoute aux autres possibilités de remontée d’alertes, telle que la voie hiérarchique.
La mise en place d’un DAP, qui s’accompagne souvent de la création de référents éthiques, poursuit le double objectif de créer un circuit de réaction rapide et simplifié aux manquements attribuables à l’organisme ou à ses préposés et d’améliorer la transparence interne et externe de l’organisme.
L’employeur doit respecter les règles relatives à la protection des données personnelles pour tous les traitements qu’il met en œuvre et qui l’amènent à gérer des données personnelles notamment des salariés.
Ces règles sont issues du règlement européen relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD), de la loi « informatique et libertés » et de ses textes d’application (règlement UE 2016/679 du 27 avril 2016, JOUE 4 mai 2018 ; loi 78-17 du 6 janvier 1978, modifiée). Pour être synthétique, on les appellera ci-après « les règles RGPD ».
En particulier, l’employeur doit se conformer aux règles RGPD quand il met en place un dispositif d’alerte professionnelle dans la mesure où, dans le cas général, ce type de dispositif nécessite un traitement de données personnelles (celles de l’auteur et de la ou des personnes visées par l’alerte).
L’employeur s’assure aussi de la conformité du dispositif à l’ensemble des autres règles de droit applicables (code du travail, code pénal, etc.).
Par ailleurs, la CNIL souligne que la mise en place d’un tel dispositif vient en complément des autres possibilités de remontées d’alerte (ex. : par la voie hiérarchique) et ne doit avoir ni pour objet ni pour effet d’exonérer l’employeur de ses obligations (telles que celle de prévenir les risques psychosociaux) et du respect de la réglementation qui lui est applicable (communiqué CNIL en date du 10 décembre 2019).
Le respect du référentiel permet à l’employeur de s’assurer de la conformité aux règles RGPD des traitements de données mis en œuvre dans le cadre d’un dispositif d’alerte.
L’employeur qui ne suivra pas le référentiel devra être en mesure de justifier pourquoi il s’en est écarté compte tenu des spécificités de son entreprise.
En outre, le référentiel rappelle que la mise en place d’un dispositif d’alerte professionnelle doit systématiquement donner lieu à la réalisation préalable d’une analyse d’impact relative à la protection des données (AIPD) (délibération CNIL n°2018-327 du 11 octobre 2018).
Le référentiel est, d’ailleurs, une aide à la réalisation de l’AIPD.
Le référentiel de la CNIL applique le RGPD aux dispositifs d’alertes professionnelles en définissant :
- Les finalités des traitements mis en œuvre ;
- Les bases légales des traitements mis en œuvre ;
- Les données personnelles qui peuvent être collectées et traitées ;
- Les destinataires des données collectées ;
- Les durées de conservation des données personnelles ;
- Les modalités d’information des personnes dont les données personnelles sont traitées, du lanceur d’alerte et de la personne visée par l’alerte ;
- Les droits des personnes (droit d’accès, de rectification, etc.) ;
- Les mesures à adopter pour assurer la sécurité des données personnelles.
L’employeur qui suivra ce référentiel aura la garantie d’être conforme au RGPD. Un autre référentiel, relatif aux traitements de données personnelles mis en œuvre par les entreprises pour la gestion du personnel, devrait être publié très prochainement.
La CNIL précise dans son référentiel que l’organisme doit prendre toutes les précautions utiles au regard des risques présentés par son traitement pour préserver la sécurité des données à caractère personnel et, notamment au moment de leur collecte, durant leur transmission et leur conservation, empêcher qu’elles soient déformées, endommagées ou que des tiers non autorisés y aient accès.
En particulier, dans le contexte spécifique du présent référentiel, soit l’organisme adopte les mesures suivantes, soit il justifie de leur équivalence ou du fait de ne pas avoir besoin ou pouvoir y recourir :
