Dispositif d’alerte interne & RGPD : comment traiter les données personnelles

Découvrez l’essentiel des obligations incombant aux entreprises pour assurer un traitement légal et optimal des données collectées.
Linda Couturier Sadgui
  • Dernière mise à jour : 12/09/2022
  • 3 min
En bref

La confidentialité est un enjeu complexe dans un monde digital où nous sommes suivis en permanence. Le big data est devenu l’or du XXIème siècle. L’Europe résiste encore en se dotant d’un arsenal juridique pour protéger ses citoyens. Ainsi le Règlement Général sur la Protection des Données (RGPD) impose le respect des données personnelles notamment au sein des dispositifs d’alertes professionnelles issus de la loi Sapin 2.

Quel que soit le dispositif d’alerte professionnelle mis en place dans l’entreprise, vous recueillez des informations nominatives soumises au RGPD. La Commission Nationale Informatique et Libertés (CNIL) a élaboré un référentiel spécifique sur cette question. La finalité du traitement des données personnelles doit correspondre à l’une des situations prévues par la loi Sapin 2 telles que la dénonciation d’un délit, la violation d’une obligation légale ou un manquement au code de conduite de l’organisme.

Quelles sont les données personnelles concernées ?

L’entreprise doit veiller à recueillir exclusivement les données nécessaires à une gestion efficace des alertes professionnelles :

  • Identité du lanceur d’alerte (sauf pour les dispositifs d’alerte professionnelle offrant l’anonymat)
  • Identité des personnes intervenant dans le dossier d’alerte
  • Identité des personnes impliquées dans les faits évoqués

Les faits, les éléments recueillis, les conclusions de l’enquête et les sanctions éventuelles peuvent également être soumis au RGPD. C’est par conséquent l’ensemble de la procédure d’alerte qu’il faut examiner à l’aune de cette réglementation.

Bien évidemment, tout traitement de données sensibles est en principe interdit. Il s’agit des informations relatives aux orientations politiques, religieuses, sexuelles ainsi qu’à l’origine ethnique d’une personne ou à son passé judiciaire. La collecte de telles données peut être autorisée exceptionnellement notamment pour préparer une action en justice.

Quels sont les destinataires des données personnelles collectées ?

Dans ce cas également, le minimum nécessaire s’impose. L’entreprise doit veiller à tenir une documentation des accès aux données personnelles. En interne, seules les personnes habilitées à traiter les alertes professionnelles sont concernées. Les canaux classiques d’alerte comme les emails ou le téléphone offrent d’ailleurs peu de sécurité en matière de confidentialité.

En externe, l’entreprise doit veiller à ce que ses prestataires, comme les plateformes digitales d’alerte, offrent des accès limités et sécurisés aux données personnelles.

Les données recueillies peuvent être diffusées pour procéder à la vérification des faits. Toutefois, toute information permettant l’identification du lanceur d’alerte n’est possible qu’avec son accord préalable. Quand à l’auteur des violations mentionnées dans l’alerte, son identification ne peut être diffusée qu’après avoir vérifié la véracité des accusations portées. Bien évidemment, ces restrictions ne s’appliquent pas aux affaires portées devant les autorités judiciaires.

Combien de temps conserver les données personnelles ?

Si le dispositif d’alerte permet d’anonymiser les informations, la durée de conservation est illimitée et permet d’effectuer des statistiques efficaces.

Les informations relatives à une alerte classée sans suite doivent être détruites ou archivées après anonymisation dans les 2 mois suivant la clôture du dossier.

Si une procédure est engagée, la conservation des données s’étend jusqu’à l’extinction de toute voie de recours.

Comment respecter le droit à l’information ?

Comme tout traitement de données personnelles, le dispositif d’alerte professionnelle doit être précédé d’une information claire et précise destinée à chaque personne concernée. En toute transparence, l’entreprise doit informer sur la nature et la finalité de la collecte et du traitement. Elle informe également sur les droits des personnes (droit d’accès, de rectification et d’opposition) et sur les sanctions possibles en cas d’abus ou de détournement du système d’alerte.

A retenir :

  • Face à la prise de conscience de l’importance des données personnelles, le législateur a protégé les citoyens par des dispositions contraignantes comme le RGPD
  • Les entreprises doivent donc assurer un traitement transparent et sécurisé des données personnelles recueillies dans le cadre des alertes professionnelles prévues par la loi Sapin 2
  • Parmi les dispositifs d’alertes professionnelles, peu sont conformes au RGPD. Une plateforme digitale d’alerte permet d’assurer la confidentialité des données conformément à la loi Sapin 2 et au RGPD

La protection des lanceurs d’alerte en entreprise : 

Comment mettre en place un dispositif d’alerte interne efficace ?

téléchargez gratuitement

Partagez cet article sur:

Linda Couturier Sadgui contact image | integrityline.com
Linda Couturier Sadgui
Head of Marketing Communications | EQS Group
Linda possède 20 ans d’expérience en marketing et communication B2B dans le secteur des services financiers et de l’information dont 14 ans au niveau paneuropéen. Avant de rejoindre EQS Group en mars 2018, Linda a occupé les fonctions de Head of Marketing Communications Strategy EMEA chez Euronext, Thomson Reuters puis Nasdaq. Linda est diplômée d’un Master en Marketing de PSB Paris School of Business (Ex ESG Management School).
Contactez-nous
Icon-linkedin Icon-xing Icon-twitter Facebook Icon-iconmonstr-instagram-11 Icon-youtube

Nous contacter

EQS GROUP FRANCE SAS
40, rue du Louvre 
75001 Paris
France

integrityline-badge_pentest_confirmation
integrity-line-icon-iso
WACA-Logo.png
integrity-line-csa-star-logo
integrity-line-g2-medal
Gérer les préférences en matière de cookies