Données personnelles – Gestion des alertes externes

Finalités

Le traitement a pour objet la gestion des alertes externes.

Il permet à la CNIL :

• la gestion des demandes des lanceurs d’alerte externe (réception, orientation, instruction) ;
• la gestion des contacts ;
• l'historisation des demandes et des réponses apportées aux lanceurs d’alerte externe ;
• l'aide au pilotage de l’activité ;
• la gestion des statistiques et des comptes-rendus de l’activité ;
• la mesure de l'utilisation des services proposés et la prise en compte des retours des usagers pour l'amélioration de ces services.

Base légale

Article 6 (1) c du règlement général sur la protection des données - RGPD

Ce traitement est nécessaire au respect d’une obligation légale à laquelle la CNIL est soumise (respect de loi n°2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique et du décret n°2022-1284 du 3 octobre 2022 relatif aux procédures de recueil et de traitement des signalements émis par les lanceurs d’alerte et fixant la liste des autorités externes instituées par la loi n° 2022-401 du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte).

Catégories de données traitées

Concernant les usagers du téléservice, les responsables de traitement, les éventuels sous-traitants et les tiers concernés :

• identité, données de connexion, coordonnées, objet du signalement, date et numéro du signalement, historique des échanges, retours qualité sur le service proposé, statistiques ;
• le cas échéant (en fonction de l’objet du signalement transmis) : vie personnelle, vie professionnelle, informations d’ordre économique et financier, données relatives à la vie numérique, données sensibles au sens des articles 9 et 10 du RGPD.
• Les informations communiquées dans le cadre d’une alerte externe :
• doivent rester factuelles et présenter un lien direct avec l’objet de l’alerte ;
• ne doivent pas relever du secret de la défense nationale, du secret médical, du secret des délibérations judiciaires, du secret de l'enquête ou de l'instruction judiciaires ou du secret professionnel de l'avocat.

Source des données

Les données traitées dans le cadre de la gestion des alertes externes sont issues :

• du lanceur d’alerte ;
• des responsables de traitement et éventuellement des sous-traitants et tiers concernés ;
• des services de la CNIL contribuant à l’instruction des signalements ;
• des autorités de contrôle nationales, européennes ou internationales ;
• des API publiques (FranceConnect, API Adresse, API Entreprise, API Sirene) ;
• des sources ouvertes (contenus Internet, annuaires).

Caractère obligatoire du recueil des données

Le recours au dispositif de lanceur d’alerte externe est facultatif.
L’identification du demandeur (sauf souhait de sa part de rester anonyme), la description de l’objet du signalement et la fourniture des informations et documents susceptibles de l’étayer sont nécessaires au traitement du signalement et à l’information du demandeur.

Prise de décision automatisée

Le traitement ne prévoit pas de prise de décision automatisée.

• Personnes adressant à la CNIL une alerte externe
• Responsables de traitement, éventuels sous-traitants et tiers concernés
• Membres et personnels de la CNIL
• Membres et personnels des autorités de contrôle nationales, européennes ou internationales, ou des juridictions concernées

Catégories de destinataires

Dans la limite de leurs besoins respectifs, sont destinataires de tout ou partie des données :

• les lanceurs d’alerte ;
• les responsables de traitement, sous-traitants et éventuels tiers concernés par les signalements (l'identité du lanceur d'alerte ne pouvant être communiquée, si nécessaire, qu'après recueil de son consentement) ;
• les membres et personnels de la CNIL en charge du traitement des signalements ;
• le cas échéant :
  • le prestataire autorisé en charge de la maintenance des solutions informatiques ;
  • les autorités compétentes en cas de nécessité de réorientation des signalements ;
  • les juridictions compétentes.

Transferts des données hors UE

Des transferts hors Union européenne de données relatives à un signalement ne peuvent intervenir que lorsqu’ils sont nécessaires à la gestion du signalement concerné.

Les dossiers de signalement sont conservés 5 ans à compter de leur clôture. Cette durée peut également être étendue à la durée de conservation d’un autre dossier portant sur le même objet nécessitant la conservation des échanges antérieurs.

Les mesures de sécurité sont mises en œuvre conformément à la politique de sécurité des systèmes d’information (PSSI) de la CNIL, issue de la PSSI de l’Etat.

Exercer ses droits

Le délégué à la protection des données (DPO/DPD) de la CNIL est votre interlocuteur pour toute demande d'exercice de vos droits sur ce traitement.

• Contacter le DPO/DPD par voie électronique

> Contacter le délégué à la protection des données (DPO/DPD) de la CNIL

• Contacter le DPO/DPD par courrier postal

Le délégué à la protection des données
CNIL
3 Place de Fontenoy
TSA 80715
75334 PARIS CEDEX 07

Réclamation (plainte) auprès de la CNIL

Si vous estimez, après nous avoir contactés, que vos droits sur vos données ne sont pas respectés, vous pouvez adresser une réclamation (plainte) à la CNIL.