Les récents enseignements de la CNIL au sujet du dispositif d’alerte

Le 10 décembre 2019, le référentiel de la CNIL était publié au Journal officiel. Ce référentiel est destiné à aider les organismes publics et privés souhaitant se doter d’un dispositif de traitement d’alertes en conformité avec les principes relatifs à la protection des données personnelles. 

L’adoption de ce référentiel CNIL (« Commission nationale de l’informatique et des libertés ») était particulièrement attendu par les praticiens intervenant en matière de conformité compte tenu des évolutions notables en matière de réglementation des données personnelles.

Les lois Sapin II et Vigilance ont inscrit parmi les exigences requises la nécessité de mettre en place un dispositif de recueil des alertes éthiques / professionnelles pour certains organismes. Un tel mécanisme doit dès lors s’articuler avec la réglementation en matière de données personnelles.

Les récentes évolutions de la législation en matière de données personnelles avec notamment l’adoption du RGPD (« Règlement général sur la protection des données ») ont conduit à une attention plus accrue au sujet de l’obtention et la conservation des données personnelles et ce tout particulièrement lorsqu’il s’agit de données dites sensibles concernant la révélation d’infractions pénales ou encore le signalement d’agissements constitutifs d’atteintes graves envers les droits humains et les libertés fondamentales.

Ce référentiel CNIL est destiné aux organismes privés ou publics qui sont tenus ou qui décident de mettre en œuvre un dispositif de recueil et de gestion des alertes professionnelles nécessitant un traitement de données à caractère personnel. Un tel référentiel a ainsi vocation à être suivi au sein des structures soumises aux prévisions de la loi Sapin II (art. 8) ou encore de la loi relative au devoir de vigilance (C. com., art. L. 225-102-4) qui imposent la mise en œuvre d’un dispositif d’alerte mais également au sein des entreprises ayant décidé d’instaurer un dispositif d’alerte éthique au travers de sa charte éthique ou règlement intérieur, en dépit de toute obligation légale.

Les données dans le dispositif d’alerte doivent être recueillies et traitées avec comme objectif de révéler un manquement à une règle spécifique. Aussi, les informations recueillies pour l’une de ces finalités ne peuvent pas être réutilisées pour poursuivre un autre objectif qui serait incompatible avec la finalité première. Le référentiel indique sur ce point : « Tout nouvel usage des données doit en effet respecter les principes de protection des données personnelles. Les traitements mis en œuvre ne doivent pas donner lieu à des interconnexions ou échanges autres que ceux nécessaires à l’accomplissement des finalités ci-dessus énoncées ».

De façon pratique, le référentiel distingue trois étapes dans le cadre du dispositif d’alerte donnant lieu à des règles en matière de traitement des données personnelles spécifiques.

Tout d’abord l’instruction de l’alerte à savoir la période « qui débute par la réception de l’alerte par l’organisme, et qui se termine par la prise de décision quant aux suites réservées à celle-ci ». Dans pareille hypothèse, le lanceur d’alerte apparaît comme la personne en capacité de déterminer la nature et le volume des informations, notamment à caractère personnel, communiquées lors du signalement. Aussi, il incombe au responsable du traitement d’informer l’auteur du signalement que les informations fournies doivent rester factuelles et présenter un lien direct avec l’objet de l’alerte. Durant la phase d’instruction, c’est-à-dire de la réception de l’alerte par l’organisme jusqu’à la prise de décision quant aux suites réservées aux faits signalés, le responsable de traitement devra s’assurer que « seules les informations pertinentes et nécessaires au regard des finalités du traitement sont collectées et/ou conservées dans le dispositif ». Le référentiel CNIL énonce à titre indicatif les données suivantes : l’identité, fonctions et coordonnées de l’émetteur de l’alerte, des personnes faisant l’objet de l’alerte, des personnes intervenant dans le recueil ou dans le traitement de l’alerte, les faits signalés, les éléments recueillis dans le cadre de la vérification des faits signalés, les comptes rendus des opérations de vérifications ou encore les suites données à l’alerte.

Le traitement des informations dites sensibles à l’instar des convictions politiques, religieuses, appartenance syndicale, de l’origine raciale ou ethnique ou encore des données relatives aux condamnations pénales est envisagé dans des conditions strictement énoncées par le RGPD aux articles 9 et suivants. Sous de telles réserves, la collecte est possible dans le cadre de l’application de la loi Sapin II et la loi Vigilance ou encore pour permettre aux responsables de traitement de préparer, d’exercer et de suivre une action en justice en tant que victime, mise en cause ou pour le compte de ceux-ci.

Le référentiel recommande que l’auteur de l’alerte ne soit pas anonyme. En tout état de cause son identité doit être traitée de façon confidentielle.

Les conditions de réception des données personnelles sont également précisées. De façon pragmatique, la CNIL vient rappeler que les données personnelles doivent uniquement être rendues accessibles aux personnes habilitées à en connaître au regard de leurs attributions, lesquelles sont documentées et tracées. Il peut ainsi s’agir de la personne en charge de la gestion des alertes dans l’organisation ou du référent ou prestataire chargé de recueillir ou traiter les alertes.

Le référentiel est en revanche peu expansif sur les durées de conservation lesquelles doivent être appréciées de façon casuistique. Néanmoins, lorsqu’aucune suite n’est donnée à l’alerte les données doivent être détruites. Les données anonymes peuvent en revanche être conservées sans limitation de durée.

La CNIL recommande aux organismes d’alerter les personnes susceptibles d’être concernées par le dispositif d’alerte que « l’utilisation abusive du dispositif peut exposer son auteur à des sanctions ou des poursuites mais qu’à l’inverse, l’utilisation de bonne foi du dispositif n’exposera son auteur à aucune sanction disciplinaire, quand bien même les faits s’avéreraient par la suit inexacts ou ne donneraient lieu à aucune suite ».

De façon plus concrète, une fois l’alerte émise la personne ayant émis le signalement doit recevoir les informations relatives au traitement et ce dans un délai très bref puisque le référentiel mentionne expressément « dès le début du processus du recueil de l’alerte » (RGPD, art. 14). De même le référentiel prévoit l’information de la personne visée par une alerte dans un délai raisonnable ne pouvant dépasser un mois, à la suite de l’émission d’une alerte. Une exception est néanmoins visée, le report d’une telle information est envisagé lorsque cette information est susceptible « de compromettre gravement la réalisation des objectifs dudit traitement ».

C’est notamment le cas s’il existe un risque de destruction des preuves (RGPD, art. 14-5 b).

Par ailleurs, si la personne, dont les données personnelles ont été utilisées dans le cadre d’une alerte professionnelle, a le droit d’accéder à ces dernières (RGPD, art. 15) ; elle ne dispose pas d’un droit d’opposition si le traitement desdites données est nécessaire au respect d’une obligation légale (RGPD, art. 24).

Enfin, le référentiel précise au sujet des droits de rectification et d’effacement visé par le RGPD que « dans le cas des dispositifs d’alerte professionnelle, il ne doit notamment pas permettre la modification rétroactive des éléments contenus dans l’alerte ou collectées lors de son instruction. Son exercice, lorsqu’il est admis, ne doit pas aboutir à l’impossibilité de reconstitution de la chronologie à des éventuelles modifications d’éléments importants de l’enquête ». Le référentiel encadre ainsi ce droit en permettant son recours « pour rectifier les données factuelles, dont l’exactitude matérielle peut être vérifiée par le responsable du traitement à l’appui d’éléments probants, et ce sans que soient effacées ou remplacées les données, même erronées ».

Les dernières lignes du référentiel sont consacrées aux mesures de sécurité. La CNIL vient ainsi énumérer les précautions que doit prendre l’organisme compte tenu des risques que présente le traitement en segmentant plusieurs catégories à l’instar de la sensibilisation des utilisateurs, de la gestion des habilitations ou encore de la sécurisation des échanges avec d’autres organismes.

La publication de ce référentiel permet ainsi de répondre à plusieurs interrogations soulevées par les praticiens lors de la mise en place d’un dispositif d’alerte. Pour autant, si les préconisations de la CNIL viennent utilement éclairer le traitement de données à caractère personnel dans un tel dispositif, quelques points à l’instar de l’information de la personne visée par l’alerte ou encore les durées de conservation de l’alerte auraient mérité de plus amples précisions.

Source : Dalloz