RGPD, Sapin 2 : Alerte Ethique, la fin du dilemme ?

March 20, 2018

La montée en puissance du RGPD est l'occasion d'un choc des Titans entre les 2 révolutions du monde la conformité : La loi portant, entre autres, sur la protection des lanceurs d'alertes et le Règlement européen sur la protection des données personnelles.

Sapin 2 vs GDPR

La loi n°2016-1691 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite "SAPIN2", instaure un statut pour les lanceurs d'alertes.

Elle exige également, de la part des entreprises de plus de 50 salariés, la mise en place d'un dispositif permettant à ses salariés, ses collaborateurs externes et occasionnels, de révéler tout manquement dans le cadre d'une procédure appropriée.

Au sens du RGPD, un tel dispositif constitue bien un traitement de données à caractère personnel. A l'occasion des nombreuses conférences auxquelles j'ai le plaisir de participer sur les deux sujets, j'entends de nombreuses prises de position, parfois contradictoires, très souvent excessives.

Les exigences des deux réglementations sont rendues compatible par l'autorisation unique prise par la CNIL sous la référence AU 004.

Quelle forme peut prendre un dispositif d'alerte éthique compatible aux deux exigences?

Le dispositif de gestion des alertes pouvant permettre de révéler des crimes et délits, il revêt un caractère particulièrement sensible.

Si SAPIN2 prévoit la possibilité de sanctionner les collaborateurs abusant du dispositif, elle offre en contrepartie une protection réelle à la personne ayant désigné un de ses collègues. Ainsi le caractère anonyme de la gestion des alertes est souvent vécu comme une garantie offerte au lanceur d'alerte.

A contrario, l'anonymat du lanceur d'alerte est vécu par la CNIL comme la porte ouverte à la délation et à la calomnie, même si son éventualité n'est pas absolument rejetée par l'Autorité.

Par exception, l'alerte anonyme devra être traitée [...] sous conditions

Garantir le confort de l'anonymat à ses salariés passe donc à priori par la nécessité d'une gestion externalisée des alertes.

Au delà de la gestion de l'alerte elle-même, le média utilisé pour porter les workflows permettant de collecter, d'instruire et de réagir aux alertes est clé. Là aussi, le recours a un système distinct du système d'information de l'entreprises est un atout, limitant les risques de "fuites" en interne.

La nature des données autorisées au sein du traitement étant limitée, l'utilisation d'un workflow standardisé est envisageable.

Que devons-nous communiquer à qui?

L'autorisation délivrée par la CNIL prévoit de nombreuses obligations de communication :

Information du personnel

Les utilisateurs potentiels du dispositif d'alerte éthique doivent bien évidement être informés de la possibilité de l'utilisation du dispositif, du cadre juridique, des limites associées.

Information du lanceur d'alerte

Sapin 2 précise que le lanceur d'alerte doit être tenu informé du traitement de l'alerte. l'objectif étant de lui permettre de vérifier le sérieux de sa prise en compte.

En effet, en cas de traitement défaillant de son alerte, le déclarant pourra franchir les étapes de la révélation, à destination des pouvoirs publics, voire de l'Opinion.

Information de la personne objet de l'alerte

La gestion de l'alerte relevant de la protection des données à caractère personnel, la personne "victime" de l'alerte dispose d'un droit illimité d'accès aux données le concernant, y compris au sein du dispositif d'alerte.

Pouvons-nous cacher l'existence d'une alerte à la personne dénoncée?

La CNIL réfute expressément cette possibilité. La personne concernée doit même être prévenue qu'elle a fait l'objet d'un signalement et ce "dès l'enregistrement" de l'alerte.  

Toutefois, une petite flexibilité est envisagée "lorsque des mesures conservatoires doivent être prises, notamment pour prévenir la destruction de preuves relatives à l'alerte, l'information de la personne peut être différée à l'issue de ces mesures."

Comme beaucoup de choses relatives au RGPD, seules la pratique et la jurisprudence pourront nous fournir des éléments d'appréciation des marges disponibles !

Combien de temps conserver les données ?

Les données personnelles doivent être purgées dès que l'alerte est close en cas de "faux positif".

Elle peuvent être conservées le temps de l'instruction des mesures disciplinaires. Elles ne pourront être gardées plus de 2 mois après clôture des investigations.

Comment mettre en place rapidement un dispositif efficace???

 

 

Please reload

Posts à l'affiche

Ne devenez pas une victime collatérale

May 11, 2018

1/6
Please reload

Posts Récents
Please reload

Archives