Comme vous le savez, depuis le 1er janvier 2018, si votre entreprise compte 50 salariés au moins, il vous appartient de mettre en place une procédure de recueil des signalements émis par les lanceurs d’alerte1.
La CNIL s’intéresse de près aux traitements des données à caractère personnel destinés à la mise en œuvre d’un tel dispositif d’alerte et travaille actuellement sur l’élaboration d’un référentiel à ce sujet2.
Outre la nécessité de procéder à une analyse d’impact sur la protection des données (« AIPD ») préalablement à la mise en place du traitement automatisé des signalements émis par les lanceurs d’alerte, ou lors de l’évolution de celui-ci (s’il avait fait l’objet d’une autorisation préalable de la CNIL dans le cadre de l’actuelle législation), les questions devant être abordées sont notamment les suivantes :
- La personne visée par l’alerte doit-elle être obligatoirement informée du traitement de ses données à caractère personnel ?
- Comment gérer l’exercice par la personne visée par l’alerte de son droit d’opposition ?
- Qu’en est-il d’un droit à l’effacement ?
- Quelles sont les durées de conservation des données à caractère personnelle collectées et traitées dans le cadre de la procédure de recueil du signalement ?
Décryptage de vos obligations en la matière :
1. Retour sur la procédure de recueil des signalements émis par les lanceurs d’alerte
Pour rappel, la loi dite Sapin II3 a organisé une protection du lanceur d’alerte4 en instituant l’obligation pour certains employeurs d’établir une procédure de recueil des signalements émis par les salariés mais également par des collaborateurs extérieurs ou occasionnels5.
Le décret d’application du 19 avril 20176, qui précise les modalités de mise en œuvre de cette obligation, est entré en vigueur le 1er janvier 2018. Retour sur celui-ci :
> Qui7 ?
Sont concernés par la mise en place d’une procédure de recueil des signalements émis par les lanceurs d’alerte, notamment les employeurs de droit privé ou public de 50 salariés ou agents au moins.
A noter : Pour les personnes morales de droit privé et pour les personnes morales de droit public employant des personnels dans les conditions du droit privé, ce seuil est calculé selon les modalités de droit commun inscrites aux articles L. 1111-2 et L. 1111-3 du Code du travail. L’effectif doit, de plus, être atteint pendant douze mois consécutifs9.
> Quoi10 ?
La procédure de recueil des signalements émis doit préciser les modalités selon lesquelles l’auteur du signalement :
- Adresse son signalement au supérieur hiérarchique, direct ou indirect, à l’employeur ou au référent désigné (cf infra) (l’identité du référent susceptible de recevoir les alertes doit être mentionnée11);
- Fournit les faits, informations ou documents quel que soit leur forme ou leur support de nature à étayer son signalement lorsqu’il dispose de tels éléments ;
- Fournit les éléments permettant le cas échéant un échange avec le destinataire du signalement.
Elle précise également les dispositions prises par l’entreprise :
- Pour informer sans délai l’auteur du signalement de la réception de son signalement, ainsi que du délai raisonnable et prévisible nécessaire à l’examen de sa recevabilité et des modalités suivant lesquelles il est informé des suites données à son signalement ;
- Pour garantir la stricte confidentialité de l’auteur du signalement, des faits objets du signalement et des personnes visées, y compris en cas de communication à des tiers dès lors que celle-ci est nécessaire pour les seuls besoins de la vérification ou du traitement du signalement ;
- Pour détruire les éléments du dossier de signalement de nature à permettre l’identification de l’auteur du signalement et celle des personnes visées par celui-ci lorsqu’aucune suite n’y a été donnée, ainsi que le délai qui ne peut excéder deux mois à compter de la clôture de l’ensemble des opérations de recevabilité ou de vérification. L’auteur du signalement et les personnes visées par celui-ci sont informés de cette clôture.
> Comment ?
- Chaque employeur détermine l’instrument juridique le mieux à même de répondre à l’obligation d’établir une procédure de recueil des signalements et l’adopte conformément aux dispositions législatives et réglementaires qui le régissent12.
Remarque : Vous avez ainsi champ libre pour déterminer le support juridique le plus adapté (selon leurs pratiques internes et les procédures inhérentes à la mise en place et modification chaque support notamment) pour établir la procédure de recueil des signalements, qui pourra donc être définie au sein d’un accord collectif d’entreprise, par un engagement unilatéral, par note de service, ou encore au sein d’une charte par exemple.
Dans un souci d’harmonisation et de coordination, il est possible, notamment au sein d’un même groupe de sociétés, de prévoir de n’établir qu’une seule procédure commune à plusieurs d’entre elles.
- Une fois la procédure de recueil des signalements établie, vous êtes tenu d’informer vos salariés et collaborateurs extérieurs ou occasionnels de celle-ci.
Il convient alors de procéder à sa diffusion par tout moyen13 (notamment par voie de notification, affichage ou publication, le cas échéant sur le site internet de l’entreprise), dans des conditions propres à permettre à la rendre accessible.
Il est à noter que cette information peut être réalisée par voie électronique.
Remarque : Les collaborateurs extérieurs ou occasionnels de l’entreprise n’ayant pas forcément accès à l’affichage de l’entreprise, il peut être envisagé d’insérer une clause au sein du contrat les liant à l’entreprise permettant l’information requise sur la procédure de recueil des signalements.
En tout état de cause, il est nécessaire de vous aménager et de conserver la preuve de l’information donnée, dans l’hypothèse d’un éventuel contentieux.
> Avec qui ?
- La loi dite Sapin II prévoit que « le signalement d’une alerte est porté à la connaissance du supérieur hiérarchique, direct ou indirect, de l’employeur ou d’un référent désigné par celui-ci »14.
A noter que le référent peut être extérieur à l’entreprise 15.
Ce référent peut ainsi être une personne physique mais également une entité de droit public ou de droit privé, dotée ou non de la personnalité morale, quelle que soit sa dénomination.
En toute hypothèse, il doit disposer d’une capacité suffisante pour exercer ses missions.
Remarques :
– Choix d’un référent salarié : vous devez veiller à ce qu’il s’agisse d’un salarié disposant, de par son positionnement, de la compétence, de l’autorité et des moyens suffisants à l’exercice de ses missions.
L’organisation de formations à l’égard du futur référent salarié et la rédaction d’un avenant ainsi que d’une fiche de poste définissant les missions confiées au salarié et ses obligations, en cette qualité, seront alors indispensables.
– Choix d’un référent extérieur : le référent doit être spécialement formé et il est conseillé de mentionner, au sein de son contrat, son obligation de confidentialité, ainsi que le nécessaire respect des durées de conservation et des règles de destruction ou de restitution aux termes de la prestation.
- Dans l’exercice de ses missions, le référent est tenu à une stricte obligation de confidentialité, tout comme les personnes appelées à connaître du signalement16.
Cette obligation de confidentialité17 porte sur l’identité des auteurs du signalement, des personnes visées par celui-ci et des informations recueillies par l’ensemble des destinataires du signalement.
Les éléments de nature à identifier le lanceur d’alerte ne peuvent ainsi être divulgués, sauf à l’autorité judiciaire, qu’avec le consentement de celui-ci.
Par ailleurs, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte.
Remarque : La divulgation de ces éléments confidentiels est punie, pour les référents personnes physiques, de deux ans d’emprisonnement et de 30 000 euros d’amende et, pour les référents personnes morales, de 150 000 euros d’amende.
***
Si le législateur n’a pas institué de sanction directe au défaut de mise en place d’une telle procédure, l’employeur qui ne respecterait pas cette obligation s’exposerait néanmoins :
- A ce que l’alerte soit directement portée par son salarié auprès des autorités (judiciaire ou administrative) compétentes ou de l’ordre professionnel concerné, voire rendue publique18 ;
- A des poursuites pénales pour obstacle à la transmission d’un signalement, délit puni d’un an d’emprisonnement et de 15 000 € d’amende19.
2. Un traitement des signalements émis par les lanceurs d’alerte conforme au RGPD
Le recueil et traitement des alertes professionnelles, en ce qu’il conduit à collecter et à traiter des données à caractère personnel, est soumis au RGPD et à la Loi Informatique et Libertés modifiée.
Il vous appartient donc de veiller à la conformité de ce traitement avec les principes relatifs à la protection des données et d’être en mesure de justifier de celle-ci auprès de la CNIL, le cas échéant.
> L’analyse d’impact relative à la protection des données, outil de la conformité
La réalisation d’une AIPD est obligatoire lorsqu’un traitement, compte tenu de sa nature, de sa portée, de son contexte et de ses finalités, est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques20.
La CNIL estime que les traitements ayant pour finalité la gestion des alertes et des signalements en matière professionnelle21 nécessitent une analyse d’impact, préalablement à leur mise en place ou, pour les traitements antérieurs au 25 mai 2018 qui avaient fait l’objet d’une autorisation préalable de la CNIL, à l’occasion d’une modification significative de ceux-ci et, en tout état de cause, avant le 25 mai 2021 (fin de la dispense d’obligation de réaliser une AIPD)22.
A noter que, dans l’hypothèse où celle-ci indiquerait que le traitement présenterait un risque élevé et que ce dernier ne pourrait être suffisamment réduit par les mesures que vous aurez envisagées pour l’atténuer, vous serez alors tenu de consulter la CNIL préalablement à la mise en place du traitement23.
> Les droits de la personne visée par l’alerte
L’obligation d’information étant renforcée par le RGPD24, la question se pose de savoir si une information de la personne visée par une alerte doit obligatoirement être réalisée.
Il est à noter que le RGPD liste les exceptions à cette obligation d’information, et prévoit notamment qu’une telle information ne s’applique pas lorsqu’elle « est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ».
En pareil cas, le Règlement prévoit alors que « le responsable du traitement prend les mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations publiquement disponibles »25.
L’appréciation de l’obligation d’information devra donc être réalisée alerte par alerte, selon les circonstances entourant chacune et le risque qu’une telle information de la personne visée compromette gravement le traitement de l’alerte.
La CNIL prévoyait déjà, en 2005, que « lorsque des mesures conservatoires sont nécessaires, notamment pour prévenir la destruction de preuves relatives à l’alerte, l’information de cette personne intervient après l’adoption de ces mesures »26.
Qu’en est-il, par ailleurs des droits d’opposition27 et à l’effacement28 prévus par le RGPD ?
Les dispositions encadrant l’exercice de ces droits prévoient les situations dans lesquels ils ne peuvent trouver à s’appliquer. Ainsi :
– Sur le droit d’opposition :
- aucun droit d’opposition ne sera ouvert à la personne concernée par l’alerte lorsque le traitement aura été mis en place pour répondre à l’obligation légale (Loi Sapin II) ;
- si vous avez mis en place ce traitement de façon volontaire, sans y être tenu par la loi, il vous appartiendra de démontrer, face à l’opposition exercée par la personne visée par l’alerte, qu’ « il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice »29 ;
– Sur le droit à l’effacement :
il ne peut s’appliquer notamment lorsque le traitement est nécessaire « pour respecter une obligation légale » ou « à la constatation, à l’exercice ou à la défense de droits en justice », arguments que vous pourriez invoquer face à la demande d’ « oubli » formulée de la personne visée par l’alerte.
> La conservation limitée des données
Les données collectées et traitées dans le cadre des alertes émises ne peuvent être conservées pour une durée indéfinie30
Ainsi, en fonction des suites données à l’alerte, la CNIL préconise les durées de conservation suivantes31 :
- Alerte considérée comme n’entrant pas dans le champ du dispositif : destruction sans délai ou conservation après anonymisation à bref délai ;
- Alerte entrant dans le champ du dispositif mais ne donnant pas lieu à procédure disciplinaire ou judiciaire : destruction ou archivage, après anonymisation à bref délai, dans un délai de 2 mois à compter de la clôture des opérations de vérification ;
- Alerte donnant lieu à une procédure disciplinaire ou contentieuse à l’encontre de la personne mise en cause ou de l’auteur d’une alerte abusive : conservation jusqu’au terme de la procédure et expiration des voies de recours, ou au-delà après anonymisation préalable à bref délai.
A noter que ces durées de conservation concernent une conservation en base active ; les données collectées et traitées pourront être stockées plus longtemps, en archivage intermédiaire, pour respecter une obligation légale (par exemple, en matière comptable, sociale ou fiscale) ou pour vous constituer une preuve en cas de contentieux et dans la limite du délai de prescription applicable.
***
La conformité de l’ensemble de vos traitements au RGPD est une nécessité, et apparaît également comme une véritable opportunité en termes de sécurisation de vos systèmes d’information ainsi que de culture et d’image de votre entreprise.
Il est important que cette mise en conformité intervienne par métiers et secteurs, et qu’une attention particulière soit portée notamment aux traitements liés aux Ressources humaines, service qui brasse de nombreuses données personnelles, dont des données dites sensibles, tout au long de la relation de travail avec vos salariés mais également de vos relations avec des intérimaires et stagiaires.
Notre Pôle Data se tient à votre disposition pour vous assister dans cette démarche de mise en conformité, si vous le souhaitez.
1Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique : JORF n°0287 du 10 décembre 2016
2https://www.cnil.fr/sites/default/files/atoms/files/referentiel-alertes-pro.pdf
3Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique : JORF n°0287 du 10 décembre 2016
4personne physique qui révèle ou signale, de manière désintéressée et de bonne foi, un crime ou un délit, une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France, d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement, de la loi ou du règlement, ou une menace ou un préjudice graves pour l’intérêt général, dont elle a eu personnellement connaissance (LOI n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, art. 6)
5Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, art. 8
6Décret n° 2017-564 du 19 avril 2017 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte au sein des personnes morales de droit public ou de droit privé ou des administrations de l’Etat : JORF n°0093 du 20 avril 2017
7mais également les personnes morales de droit public d’au moins 50 salariés, les administrations de l’Etat, les communes de plus de 10 000 habitants ainsi que les établissements publics de coopération intercommunale à fiscalité propre dont elles sont membres, les départements et les régions,
8Décret n° 2017-564 du 19 avril 2017, art. 3. A savoir : Equivalent temps plein, exclusion faite de certains contrats (apprentis, contrat initiative-emploi, contrat d’accompagnement dans l’emploi, contrat de professionnalisation)
9C. trav., art. L. 2311-2. Remarque : le décret n° 2017-564 du 19 avril 2017 fait référence à l’article L. 2322-2 du Code du travail, selon lequel le seuil d’effectif est apprécié pendant douze mois, consécutifs ou non, au cours des trois dernières années, article abrogé depuis le 1er janvier 2018. Des dispositions transitoires existant jusqu’en 2020, année butoir pour la mise en place du CSE au sein des entreprises concernées, une partie de la doctrine estime que tant que les IRP n’ont pas été renouvelées (et donc que le CSE n’a pas été mis en place), il convient d’apprécier le seuil des 50 salariés, pour la mise en place de la procédure de recueil des signalements, selon les modalités précédemment applicables. Dans l’incertitude, et compte tenu de l’abrogation de l’article L. 2311-2 du Code du travail, il est conseillé de retenir le seuil de 50 salariés sur 12 mois consécutifs conformément au nouvel article L. 2311-2.
Pour les personnes morales de droit public autre que celles employant des personnels dans des conditions de droit public, le seuil de 50 agents est déterminé selon les modalités prévues pour le calcul des effectifs applicables aux comités techniques dont elles relèvent.
10Décret n° 2017-564 du 19 avril 2017, art. 5
11Décret n° 2017-564 du 19 avril 2017, art. 4
12Décret n° 2017-564 du 19 avril 2017, préambule
13Décret n° 2017-564 du 19 avril 2017, art. 6
14Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, art. 8
15Décret n° 2017-564 du 19 avril 2017, art. 4
16Décret n° 2017-564 du 19 avril 2017, art. 4
17Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, art. 9
18Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, art. 8 I
19Loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, art. 13 I
20RGPD, art. 35
21Que l’entreprise le mette en place dans le respect de son obligation légale (effectif de 50 salariés au moins) ou qu’elle mette en place une procédure de recueil des signalements émis et le traitement automatisé de ces derniers sans y être tenue (effectif de moins de 50 salariés).
22https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf
23Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 36
24Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 14 « Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée »
25Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 14 5. b)
26Délibération n° 2005-305 du 8 décembre 2005 portant autorisation unique de traitements automatisés de données à caractère personnel mis en œuvre dans le cadre de dispositifs d’alerte professionnelle (décision d’autorisation unique n° AU-004)
27La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’exécution d’une mission d’intérêt public ou relevant de l’autorité publique dont est investi le responsable de traitement, ou sur les intérêts légitimes poursuivis par le responsable de traitement ou par un tiers.
28La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs listés par le RGPD s’applique.
29Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 21
30RGPD, art. 5.1.e)
31https://www.cnil.fr/fr/declaration/au-004-dispositif-dalertes-professionnelles