Quelles sont les données personnelles concernées ?
L’entreprise doit veiller à recueillir exclusivement les données nécessaires à une gestion efficace des alertes professionnelles :
- Identité du lanceur d’alerte (sauf pour les dispositifs d’alerte professionnelle offrant l’anonymat)
- Identité des personnes intervenant dans le dossier d’alerte
- Identité des personnes impliquées dans les faits évoqués
Les faits, les éléments recueillis, les conclusions de l’enquête et les sanctions éventuelles peuvent également être soumis au RGPD. C’est par conséquent l’ensemble de la procédure d’alerte qu’il faut examiner à l’aune de cette réglementation.
Bien évidemment, tout traitement de données sensibles est en principe interdit. Il s’agit des informations relatives aux orientations politiques, religieuses, sexuelles ainsi qu’à l’origine ethnique d’une personne ou à son passé judiciaire. La collecte de telles données peut être autorisée exceptionnellement notamment pour préparer une action en justice.
Quels sont les destinataires des données personnelles collectées ?
Dans ce cas également, le minimum nécessaire s’impose. L’entreprise doit veiller à tenir une documentation des accès aux données personnelles. En interne, seules les personnes habilitées à traiter les alertes professionnelles sont concernées. Les canaux classiques d’alerte comme les emails ou le téléphone offrent d’ailleurs peu de sécurité en matière de confidentialité.
En externe, l’entreprise doit veiller à ce que ses prestataires, comme les plateformes digitales d’alerte, offrent des accès limités et sécurisés aux données personnelles.
Les données recueillies peuvent être diffusées pour procéder à la vérification des faits. Toutefois, toute information permettant l’identification du lanceur d’alerte n’est possible qu’avec son accord préalable. Quand à l’auteur des violations mentionnées dans l’alerte, son identification ne peut être diffusée qu’après avoir vérifié la véracité des accusations portées. Bien évidemment, ces restrictions ne s’appliquent pas aux affaires portées devant les autorités judiciaires.
Combien de temps conserver les données personnelles ?
Si le dispositif d’alerte permet d’anonymiser les informations, la durée de conservation est illimitée et permet d’effectuer des statistiques efficaces.
Les informations relatives à une alerte classée sans suite doivent être détruites ou archivées après anonymisation dans les 2 mois suivant la clôture du dossier.
Si une procédure est engagée, la conservation des données s’étend jusqu’à l’extinction de toute voie de recours.
Comment respecter le droit à l’information ?
Comme tout traitement de données personnelles, le dispositif d’alerte professionnelle doit être précédé d’une information claire et précise destinée à chaque personne concernée. En toute transparence, l’entreprise doit informer sur la nature et la finalité de la collecte et du traitement. Elle informe également sur les droits des personnes (droit d’accès, de rectification et d’opposition) et sur les sanctions possibles en cas d’abus ou de détournement du système d’alerte.
A retenir :
- Face à la prise de conscience de l’importance des données personnelles, le législateur a protégé les citoyens par des dispositions contraignantes comme le RGPD
- Les entreprises doivent donc assurer un traitement transparent et sécurisé des données personnelles recueillies dans le cadre des alertes professionnelles prévues par la loi Sapin 2
- Parmi les dispositifs d’alertes professionnelles, peu sont conformes au RGPD. Une plateforme digitale d’alerte permet d’assurer la confidentialité des données conformément à la loi Sapin 2 et au RGPD
La protection des lanceurs d’alerte en entreprise :
Comment mettre en place un dispositif d’alerte interne efficace ?