Début juillet 2023, la CNIL a adopté un nouveau référentiel « alertes professionnelles » concernant le traitement des données personnelles pour la mise en œuvre d’un dispositif d’alerte professionnelle, qui remplace celui datant de 2019. Que faut-il en retenir ?
Le référentiel 2019 est mort, vive le référentiel 2023 !
Pour rappel, le lanceur d’alerte est une personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant notamment sur un crime, un délit, etc. À ce titre, il bénéficie d’une protection particulière.
3 types de signalement sont possibles : par voie interne (au sein de l’entreprise), par voie externe (auprès des autorités compétentes) ou public.
Dans les entreprises d’au moins 50 salariés, une procédure de recueil et de traitement des alertes doit être mise en place.
Début juillet 2023, la CNIL a adopté un nouveau référentiel « alertes professionnelles », qui s’adresse :
- aux organismes privés ou publics qui sont tenus de mettre en place un dispositif de recueil et de gestion interne des alertes professionnelles (DAP) impliquant un traitement de données à caractère personnel, quelle que soit leur taille et qu’ils soient ou non membres d’un groupe de sociétés ;
- aux organismes privés ou publics qui décideraient de mettre en œuvre ce dispositif ;
- aux différentes entités tierces proposant des services liés à la réception, au traitement et à la conservation des alertes.
Tout comme le précédent, ce nouveau référentiel n’a pas de valeur contraignante. Néanmoins, les organismes qui choisissent de le respecter bénéficient d’une présomption de conformité de leurs traitements de données relatifs aux alertes professionnelles.
Par conséquent, les organismes qui choisissent de s’en écarter devront justifier et documenter ce choix et les mesures mises en œuvre afin de garantir la conformité des traitements à la réglementation en matière de protection des données à caractère personnel.
Les principales nouveautés de ce référentiel 2023 portent sur :
- l’ajout de nouvelles finalités de traitement des données collectées dans le cadre du traitement d’une alerte ;
- l’introduction de l’obligation d’informer le lanceur d’alerte non seulement de la réception de son alerte, mais également des suites réservées à sa démarche ;
- la possibilité d’externaliser la gestion des alertes internes vers des organismes tiers ;
- les durées de conservation des données.
Pour en savoir plus, une foire aux questions, mise en ligne par la CNIL est à votre disposition.
Alertes professionnelles : le nouveau référentiel de la CNIL – © Copyright WebLex