Le 6 juillet 2023, une délibération (n° 2023-064) prévoyant un nouveau référentiel relatif aux traitements des données dans le cadre de dispositifs d’alertes professionnelles a été adopté par la CNIL, en remplacement de celui de 2019, désormais abrogé.
Par ce nouveau référentiel, la CNIL tient compte des évolutions apportées par la loi du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte et par son décret d’application du 3 octobre 2022.
Ce référentiel, sans valeur contraignante, constitue un guide à destination :
- des organismes privés ou publics mettant en œuvre un dispositif de recueil et de gestion internes des alertes professionnelles impliquant un traitement de données à caractère personnel, qu’ils y soient légalement tenus ou non et quelle que soit leur taille ;
- des entités tierces qui proposent un service de réception, traitement et conservation des alertes.
Le référentiel s’applique en particulier aux traitements de signalements encadrés par des dispositions spécifiques du droit français, tels qu’un dispositif d’alerte interne relevant des articles 6 et suivants de la loi Sapin II.
Dans cette délibération, la CNIL précise que les principes de pertinence et de minimisation des données doivent être respectés tout au long de la procédure l’alerte. Conformément à ces principes, seules les données nécessaires à la poursuite des finalités du traitement doivent être collectées et traitées.
Elle préconise également que la mise en place du dispositif de recueil et de gestion internes des alertes permette aux auteurs de conserver leur anonymat et identifie le signalement anonyme comme « tout signalement dont l’auteur aura choisi de ne pas révéler son identité, peu important qu’il puisse être possible de l’identifier au terme d’une enquête ou recherche complémentaire ».
S’agissant de la durée de conservation, le référentiel indique que les données peuvent être conservées en base active jusqu’à la prise de la décision définitive sur les suites à réserver à celle-ci dans un délai raisonnable et pourront ensuite être conservées sous forme d’archives intermédiaires le temps strictement proportionné à leur traitement et à la protection des personnes concernées.
Enfin, lorsqu’une alerte est émise, la délibération prévoit que le lanceur d’alerte doit recevoir un accusé de réception. La personne visée par l’alerte doit être informée par le responsable de traitement dans un délai d’un mois.
Bien qu’il soit sans valeur directement contraignante, les entités qui s’écarteraient de ce référentiel devraient toutefois justifier et documenter ce choix et les mesures prises pour garantir la conformité de leur traitement de données personnelles à la réglementation.