Les mécanismes d’alerte professionnelle (whistleblowing) permettent aux collaborateurs d’une entreprise de signaler des faits répréhensibles dont ils ont connaissance. Ces mécanismes se sont rapidement développés au gré des dispositions législatives éparses qui ont imposé aux entreprises leur mise en place dans des domaines précis (financier, concurrence, travail, santé, environnement, etc.), rendant complexe et difficilement lisible le système des alertes professionnelles. La loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, dite loi Sapin 2, est venue clarifier ce système.

Entrée en vigueur le 11 décembre 2016, la loi Sapin 2 définit ce qu’est un lanceur d’alerte, lui consacre une protection juridique et institue un régime commun des dispositifs d’alerte professionnelle. Le 22 juin 2017, la CNIL a pris acte de cette loi et a modifié en conséquence l’autorisation unique n° AU-004 qui couvre les traitements des données personnelles effectués à l’occasion de l’utilisation des dispositifs d’alerte professionnelle.

I. Protection juridique du lanceur d’alerte

Défini à l’article 6 de la loi Sapin 2, le lanceur d’alerte est une personne physique qui dénonce des crimes, délits, agissements illégaux dont elle a eu personnellement connaissance. Il peut s’agir aussi bien d’un salarié de l’entreprise au sein de laquelle a été mis en place le dispositif d’alerte professionnelle, qu’un collaborateur extérieur ou occasionnel (tel que le salarié d’un prestataire externe ou d’un sous-traitant). En tout état de cause, le lanceur d’alerte doit, pour jouir de ce statut juridique, agir de manière désintéressée et être de bonne foi. Il est à noter que les éléments couverts par le secret de la défense nationale, le secret médical ou le secret des relations entre un avocat et son client ne peuvent pas être révélés au titre des alertes professionnelles.

Dès lors qu’il remplit les conditions susvisées, le lanceur d’alerte bénéficie d’une protection juridique. D’une part, le lanceur d’alerte jouit d’une irresponsabilité pénale lorsque la divulgation d’un secret protégé par la loi est nécessaire et proportionnée à la sauvegarde des intérêts en cause. D’autre part, le lanceur d’alerte est protégé contre toute mesure discriminatoire qui pourrait être prise à son encontre suite à ses révélations. Ainsi, il est interdit aux entreprises de sanctionner les lanceurs d’alertes, de les licencier ou encore de leur refuser l’octroi d’une augmentation ou d’une promotion pour avoir signalé une alerte.

En outre, il est strictement interdit de faire obstacle à l’exercice du droit de lancer une alerte, sous peine d’une amende de 15.000 € et d’un an d’emprisonnement.

II. Régime juridique des dispositifs d’alerte professionnelle

La loi Sapin 2 a créé l’obligation, pour les entreprises de plus de 50 salariés, de mettre en place un dispositif d’alerte professionnelle dont les conditions sont fixées par le décret n° 2017-564 du 19 avril 2017. Cette obligation sera effective le 1er janvier 2018. Les entreprises de moins de 50 salariés pourront bien sûr, de manière volontaire, mettre en place un tel dispositif d’alerte professionnelle. Il est à noter qu’un dispositif d’alertes peut être commun aux différentes entreprises appartenant au même groupe.

En outre, la loi Sapin 2 impose aux entreprises de plus de 500 salariés (ou appartenant à un groupe dont la société mère est établie en France et comprend au moins 500 salariés) et dont le chiffre d’affaires est supérieur à 100 millions d’euros, de mettre en place un dispositif d’alertes permettant de signaler tout manquement au code de conduite de la société en ce qui concerne des faits de corruption ou de trafic d’influence.

Qu’il soit obligatoire ou volontaire, le dispositif mis en place doit prévoir une procédure d’alerte graduée. C’est-à-dire que l’alerte doit d’abord être portée à la connaissance du supérieur hiérarchique ou d’un référent spécifiquement désigné le cas échéant (le référent peut être une personne morale et peut être extérieur à l’entreprise). En l’absence de traitement de l’alerte dans un « délai raisonnable » (non défini par la loi et le décret), l’alerte peut être adressée aux autorités judiciaires ou administratives ou aux ordres professionnels. A défaut de traitement du signalement par ces autorités dans un délai de trois mois, l’alerte peut être rendue publique. De manière exceptionnelle, l’alerte peut être immédiatement rendue publique en cas de danger grave et imminent ou en présence d’un risque de dommages irréversibles.

Le lanceur d’alerte doit communiquer, au soutien de ses allégations, tous les éléments de nature à corroborer son signalement.

Enfin, l’entreprise doit effectuer une publicité de son dispositif d’alertes auprès de son personnel et de ses collaborateurs extérieurs ou occasionnels.

III. Incidences en matière de données personnelles

Les dispositifs d’alerte professionnelle, qu’ils découlent de la loi Sapin 2 ou de dispositions antérieures, impliquent nécessairement le recueil et le traitement de données personnelles, à commencer par l’identité du lanceur d’alerte et celle de la personne visée par l’alerte.

Dans la mesure où les données collectées sont susceptibles d’être relatives à des infractions, la mise en place d’un dispositif d’alerte doit être autorisée par la CNIL. Les dispositifs d’alerte mis en place jusqu’à présent relevaient de l’autorisation unique n° AU-004, adoptée aux termes de la Délibération CNIL n° 2005-305 du 8 décembre 2005. Cette autorisation a été actualisée par la CNIL, le 22 juin 2017, afin de tenir compte de la loi Sapin 2.

L’autorisation unique est une procédure simplifiée qui repose sur un mécanisme déclaratif de l’entreprise, qui s’engage à effectuer le traitement dans les conditions déterminées par la CNIL. Par conséquent, les entreprises concernées devront déclarer à la CNIL les traitements effectués et assortir cette déclaration d’un engagement de conformité au cadre fixé par la Délibération CNIL n° 2017-191 du 22 juin 2017 tel que détaillé ci-dessous. Si le traitement envisagé dépasse ce cadre, l’entreprise devra solliciter une autorisation spécifique auprès de la CNIL conformément à l’article 25 de la loi Informatique et Libertés (procédure d’autorisation « normale »).

Traitements couverts par l’AU-004  : le périmètre de l’AU-004 a été étendu et couvre désormais tous les dispositifs d’alerte professionnelle qui permettent le recueil de tout signalement effectué de manière désintéressée et de bonne foi :
 d’un crime ou d’un délit ;
 d’une violation grave et manifeste d’un engagement international régulièrement ratifié ou approuvé par la France ;
 d’une violation grave et manifeste d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un engagement international ratifié ou approuvé par la France ;
 d’une violation grave et manifeste de la loi ou du règlement ;
 d’une menace ou d’un préjudice graves pour l’intérêt général dont le lanceur d’alerte a eu personnellement connaissance ;
 relatif aux obligations définies par les règlements européens et par le code monétaire ou financier ou le règlement général de l’Autorité des marchés financiers, et dont la surveillance est assurée par l’Autorité des marchés financiers ou l’Autorité de contrôle prudentiel et de résolution ;
 relatif à l’existence de conduites ou de situations contraires au code de conduite de la société, concernant des faits de corruption ou de trafic d’influence, dès lors que la mise en œuvre de ces traitements répond à une obligation légale ou à un intérêt légitime du responsable de traitement.

Les modalités techniques du dispositif d’alerte sont libres.

Information des utilisateurs potentiels du dispositif d’alerte : l’entreprise doit informer ses collaborateurs, internes, externes ou occasionnels, de l’existence du dispositif d’alerte professionnelle, définir les destinataires des données et les objectifs poursuivis par le traitement et préciser, notamment, l’identité du responsable de traitement, le caractère facultatif du dispositif, l’absence de conséquences en cas d’utilisation ou de non utilisation du dispositif, la mise en place d’un transfert de données hors de l’Union européenne, et l’existence des droits d’accès, d’opposition, et de rectification des données. Les étapes de la procédure doivent être détaillées.

Nature des données collectées  : les données pouvant être collectées et traitées sont limitées :
 à l’identité, aux fonctions et aux coordonnées du lanceur d’alerte ;
 à l’identité, aux fonctions et aux coordonnées de la personne visée par l’alerte ;
 à l’identité, aux fonctions et aux coordonnées des personnes recueillant ou traitant l’alerte ;
 aux faits signalés ;
 aux éléments recueillis dans le cadre de la vérification des faits signalés ;
 au compte rendu des opérations de vérification ;
 aux suites données à l’affaire.

En tout état de cause, les données recueillies doivent être strictement limitées à ce qui est nécessaire pour vérifier les faits.

En principe, l’alerte ne doit pas être faite de manière anonyme. Toutefois, par exception, le lanceur d’alerte peut agir de manière anonyme lorsque (i) la gravité des faits dénoncés est établie, (ii) les éléments factuels sont suffisamment détaillés et (iii) des précautions sont prises concernant le traitement de cette alerte (il s’agira par exemple d’effectuer un examen préalable de l’opportunité de la diffusion de l’alerte).

Destinataires des données : les destinataires sont les personnes chargées de collecter et traiter les données. Ils doivent être limités, spécialement formés à cette mission et astreints à une obligation renforcée de confidentialité contractuellement définie (à cet effet, il serait recommandé notamment d’étendre l’obligation de confidentialité dans le temps). Les signalements doivent être adressés au supérieur hiérarchique, à l’employeur ou au référent désigné par l’entreprise. Chaque destinataire ne doit avoir accès qu’aux données qui lui sont nécessaires pour mener à bien sa mission.

Information de la personne visée par l’alerte  : dès l’enregistrement des données la concernant, la personne visée par l’alerte doit être informée du traitement de ces données, afin de lui permettre notamment d’exercer ses droits d’accès, d’opposition, de rectification ou de suppression des données. Cette information peut néanmoins intervenir a posteriori, lorsqu’il apparaît nécessaire d’adopter des mesures conservatoires afin de prévenir la destruction de preuves.

La personne visée par l’alerte ne peut en aucun cas avoir connaissance de l’identité du lanceur d’alerte.

Droit d’accès, de rectification et de suppression  : toutes les personnes identifiées dans le cadre de l’alerte doivent avoir connaissance de l’existence de leurs droits d’accès, de rectification et de suppression des données les concernant, et être en mesure d’exercer ces droits de manière effective.
Confidentialité des données : les données relatives au lanceur d’alerte et à la personne visée par l’alerte doivent être traitées de manière confidentielle. Cet impératif de confidentialité vise à assurer d’une part l’efficacité du dispositif afin que les lanceurs d’alerte puissent agir sans crainte de représailles et, d’autre part, le respect du principe de présomption d’innocence. Ainsi, les éléments de nature à identifier la personne mise en cause par un signalement ne peuvent être divulgués, sauf à l’autorité judiciaire, qu’une fois établi le caractère fondé de l’alerte. Enfin, les informations recueillies dans le cadre de l’alerte doivent elles-mêmes demeurer confidentielles. La divulgation de ces éléments confidentiels est punie de deux ans d’emprisonnement et de 30.000 euros d’amende.

Sécurité des données : les entreprises doivent mettre en place des mesures permettant de garantir la sécurité des données recueillies dans le cadre de l’alerte. L’accès aux données doit nécessairement être effectué par un moyen d’authentification, tel que la saisie d’un identifiant et d’un mot de passe individuel. L’accès doit être enregistré et contrôlé.

Transfert des données hors de l’Union européenne : l’autorisation n° AU-004 autorise les entreprises à effectuer des transferts de données hors de l’Union européenne dès lors que le transfert est réalisé vers :
 un pays qui assure un niveau de protection des données personnelles reconnu comme suffisant par la Commission européenne (tel que la Suisse) ;
 vers un destinataire qui assure un niveau de protection des données personnelles suffisant (en raison de la conclusion d’un contrat de transfert basé sur les clauses contractuelles types de la Commission européenne ou en raison des règles internes de l’entreprise approuvées par la CNIL (Binding Corporate Rules) ;
 vers un destinataire américain qui a adhéré au Privacy Shield, pour autant que la certification couvre les données de ressources humaines.

Ainsi, il suffit aux entreprises de préciser l’existence d’un tel transfert à l’occasion de la déclaration de leurs traitements auprès de la CNIL pour être autorisées à effectuer un transfert des données hors de l’Union européenne.

Durée de conservation des données  : la durée de conservation des données dépend, d’une part, des données concernées, et, d’autre part, des suites données à l’alerte :
 Les données qui n’entrent pas dans le champ du dispositif sont détruites immédiatement ou archivées ;
 Lorsque l’alerte n’est pas suivie d’une procédure disciplinaire ou judiciaire, les données doivent être détruites dans les deux mois suivant la clôture des opérations de vérification ;
 Lorsqu’une procédure disciplinaire ou judiciaire est initiée, les données sont conservées jusqu’au terme de ladite procédure.

Le décret n° 2017-564 relatif aux procédures de recueil des signalements émis par les lanceurs d’alerte entrant en vigueur le 1er janvier 2018, les entreprises ont jusqu’à cette date pour mettre en place un dispositif d’alerte et déclarer à la CNIL le traitement des données personnelles. Les entreprises ayant déjà mis en place un dispositif d’alerte sont dispensées de procéder à une nouvelle déclaration auprès de la CNIL, mais devront adapter leur dispositif afin de se conformer à la loi Sapin 2 le cas échéant (notamment en termes d’utilisateurs du dispositif et de domaines couverts par le dispositif).

• 
  Sans titre, Emilie, 29 octobre 2018

  Bonjour,

  J’ai une question : imaginons que suite à une alerte et une investigation, l’entreprise décide de licencier un salarié. Les données sont ainsi conservées jusqu’à la fin de la procédure de licenciement ?
  Que se passe-t-il donc si après suppression de données (ou archivage anonymisé), le salarié décide d’aller aux prud’hommes ?
  Peut-on considérer que tant que la prescription court, l’entreprise est en droit de conserver les données ?