Droit d’alerte : les modalités de transmission des alertes auprès de la CNIL sont publiées
02.12.2022
Depuis l’adoption de la loi du 21 mars 2022 relative à la protection des lanceurs d’alerte, ces derniers ont désormais la possibilité d’émettre des signalements internes en application des procédures mises en place par les entités assujetties, ou des signalements externes directement à une autorité administrative, dont la CNIL sur des questions relatives aux données personnelles ou aux cyberattaques, par exemple.
Le décret du 3 octobre 2022 est venu préciser dans son annexe les autorités auxquelles ces signalements externes peuvent être adressés. Dans ce contexte, les modalités de transmission des alertes à la CNIL ont été publiées.
Rappel du contexte réglementaire
A l’instar de l’ensemble des autorités désignées par décret, la CNIL a l’obligation de mettre en place et de publier une procédure de signalement.
Dans sa procédure, la CNIL précise que les faits pouvant lui être signalés doivent concerner un manquement relevant de la réglementation en matière de protection des données personnelles (RGPD, loi Informatique et Libertés…) ainsi qu’en matière de cybersécurité. Cela inclut des faits qui se sont produits ou qui sont susceptibles de se produire.
La CNIL indique également que le signalement reçu pourra être transmis au Défenseur des droits ou directement à l’autorité compétente si tel n’est pas le cas de la CNIL.
L’alerte éthique distinguée de la plainte
La CNIL semble opérer une distinction entre la transmission d’une plainte et celle d’une alerte.
D’une part, il convient de transmettre une plainte dès lors que les faits relèvent d’un manquement au traitement des données personnelles qui concernent le lanceur d’alerte personnellement. Dans ce cas, l’anonymat de l’auteur de la plainte ne peut être garanti, l’instruction de la plainte nécessitant de communiquer l’identité de l’auteur à l’organisme concerné.
D’autre part, une alerte peut être transmise si elle concerne une personne physique divulguant, sans-contrepartie financière directe et de bonne foi, des informations portant sur les données personnelles, et plus particulièrement :
une violation du droit de l'Union européenne, de la loi Informatique et Libertés ou du règlement général sur la protection des données (RGPD) ;
un crime ;
un délit ;
une menace ou un préjudice pour l'intérêt général ;
une autre violation ou une tentative de dissimulation d'une violation ;
d’un engagement international régulièrement ratifié ou approuvé par la France ;
d’un acte unilatéral d'une organisation internationale pris sur le fondement d'un tel engagement.
Conformément à l’article 6 alinéa 1er de la loi Sapin II, la CNIL précise que lorsque les informations n'ont pas été obtenues dans le cadre des activités professionnelles, le lanceur d’alerte doit en avoir eu personnellement connaissance.
Cependant, cette distinction entre la plainte et l’alerte éthique n’est pas évidente en ce que le canal électronique pouvant être utilisé pour le dépôt d’une plainte semble être le même que celui utilisé pour le dépôt d’une alerte.
La procédure invite toutefois les lanceurs d’alertes à indiquer clairement leur statut, ce qui devrait en principe éviter toute confusion.
Seule la pratique permettra de déterminer si cette identification préconisée sera suffisante.
La transmission préalable d’une alerte interne
La CNIL indique que le lanceur d’alerte n’est pas tenu de faire un signalement interne préalable au signalement externe. Cependant, les alertes internes sont encouragées dès lors que l’organisme mis en cause dispose d’une procédure de signalement et qu’il n’existe pas de risque de représailles contre le lanceur d’alerte ou de risque de destruction de preuves.
L’anonymat du lanceur d’alerte
Au-delà de l’obligation légale de préserver la confidentialité de l’identité du lanceur d’alerte, la CNIL permet aux auteurs des signalements de demeurer anonymes.
Cette possibilité a été expressément prévue par les dispositions du référentiel de la CNIL relatif aux traitements de données à caractère personnel destinés à la mise en œuvre d’un dispositif d’alertes professionnelles du 18 juillet 2019. Cependant, ce référentiel recommandait aux organismes de ne pas inciter les lanceurs d’alerte à transmettre leur signalement de manière anonyme.
Il convient toutefois de préciser que le canal existant pour le lancement d’une alerte par voie électronique étant le même que celui pour le dépôt d’une plainte, il ne semble de facto pas possible d’émettre un signalement anonyme par voie électronique.
En tout état de cause, le référentiel datant de 2019 ne prend actuellement pas en compte les évolutions issues de la loi Waserman et du décret d'application en la matière, ce qui ne manquera pas de poser des difficultés aux entreprises en cours de création ou de revue de leur procédure d’alerte interne.