La CNIL met à jour son référentiel « alertes professionnelles »
À la suite d’évolutions récentes de la règlementation en matière des signalements professionnels, la CNIL met à jour son référentiel « alertes professionnelles » initialement publié en 2019. Ce nouveau référentiel tient compte de l’ensemble des contributions reçues lors de la consultation publique ouverte du 6 avril au 5 mai 2023.
Le contexte
La transposition en France de la directive européenne sur la protection des lanceurs d’alerte par la loi dite « Waserman » ainsi que par son décret d’application du 3 octobre 2022, modifient de façon importante des règles en la matière, telles que :
- l’élargissement de la définition des alertes ;
- l’élargissement des catégories des personnes susceptibles d’émettre un alerte ou de bénéficier d’un régime de protection en lien avec celle-ci ;
- la création des nouvelles règles procédurales.
Si les changements de fond concernent principalement des alertes de droit commun, dites « alertes professionnelles internes », le nouveau régime concerne également les alertes dites « sectorielles », relevant des règlementations spécifiques.
En effet, les textes prévoient un « socle commun » de garanties minimales au profit de l’ensemble des lanceurs d’alertes, quel que soit le régime (général ou spécifique) dont relèverait le signalement.
Les modifications du référentiel de la CNIL
Le nouveau référentiel de la CNIL conserve la même logique et couvre l’ensemble des dispositifs d’alerte, en se limitant toutefois aux seuls aspects liés à la protection des données.
Les principales modifications par rapport à la version précédente concernent :
- une simplification de la partie « portée du référentiel » ;
- l’ajout de nouvelles finalités de traitement des données collectées dans le cadre du traitement d’une alerte ;
- l’introduction de l’obligation d’informer le lanceur d’alerte non seulement de la réception de celles-ci, mais également des suites réservées à sa démarche ;
- de nouveaux développements sur la possibilité d’externaliser la gestion des alertes internes vers des organismes tiers ;
- de nouvelles précisions relatives aux durées de conservation des données ;
- la mise à jour du tableau des mesures de sécurité à mettre en place suite à la publication d’une nouvelle version du guide de sécurité de la CNIL en avril de cette année.
Une FAQ accompagne la publication de ce référentiel.
Télécharger le référentiel
Pour approfondir
- FAQ - Référentiel relatif aux dispositifs d’alerte professionnelle
- Guide pratique « Les enquêtes internes anti-corruption » de l’Agence Française Anti-corruption (AFA) et du Parquent National Financier (PNF) - agence-francaise-anticorruption.gouv.fr
- Guide du lanceur d'alerte (03/2023) de la Défenseure des Droits (DDD) - defenseurdesdroits.fr
- Guide pratique RGPD - Sécurité des données personnelles (PDF, 495 ko)
Les textes de référence
- Directive européenne n° 2019/1937 relative à la protection des lanceurs d'alerte - Eur-Lex
- Loi du 21 mars 2022 visant à améliorer la protection des lanceurs d'alerte - Vie-publique.fr
- Décret n° 2022-1284 du 3 octobre 2022 relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d'alerte et fixant la liste des autorités externes instituées par la loi n° 2022-401 du 21 mars 2022 - Légifrance
- Délibération de la CNIL n° 2023-064 du 6 juillet 2023 portant adoption d'un référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d'un dispositif d'alertes professionnelles