Une nouvelle version du référentiel relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles (DAP) est parue au JO du 21 juillet 2023. Issue d’une délibération de la Cnil en date du 6 juillet, elle intègre les évolutions issues de la loi du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte et son décret d’application du 3 octobre 2022.

 

Ce référentiel ne présente pas de valeur contraignante, mais il constitue un guide pour les organismes concernés par la mise en place d’un DAP. Il convient de notamment retenir :

• Traitement des données

Les principes de pertinence et de minimisation des données doivent être respectés, depuis le recueil de l’alerte jusqu’aux suites qui lui sont données, en passant par son instruction. Seules les données nécessaires à la poursuite des finalités du traitement doivent être collectées. L’organisme doit prendre toutes les précautions utiles pour préserver la sécurité des données.

 

• Traitement des signalements anonymes

La Cnil préconise la mise en place de DAP permettant aux auteurs d’émettre leurs signalements de manière anonyme et de poursuivre les échanges tout en conservant leur anonymat.

 

• Durée de conservation des données

Conformément au RGPD, les données à caractère personnel ne doivent être conservées sous une forme permettant l’identification des personnes que le temps strictement nécessaire à la réalisation des finalités poursuivies.

 

• Information lors de la mise en place du DAP

L’organisme qui collecte les données doit informer les personnes concernées, tant individuellement que collectivement, notamment sur l’existence du traitement, ses caractéristiques ainsi que les droits d’accès, de rectification et d’effacement, les règles applicables en cas de transfert hors UE et le droit d’introduire une plainte auprès de l’autorité compétente.

 

Lorsqu’une alerte est émise, un accusé de réception de celle-ci doit être fourni au lanceur d’alerte, quel que soit le régime applicable au signalement, pour permettre à ce dernier de bénéficier, le cas échéant, d’un régime de protection spécifique.

 

Le responsable de traitement doit informer la personne visée par une alerte, dans un délai d’un mois à la suite de l’émission d’une alerte, sauf exception dûment justifiée.