La CNIL a mis en place un dispositif spécifique pour recueillir et traiter les signalements des lanceurs d’alerte. Elle précise qui est concerné et comment faire.
Les signalements des lanceurs d'alerte auprès de la CNIL doivent concerner un manquement relevant de la règlementation en matière de protection des données personnelles (RGPD, loi Informatique et Libertés, etc.), y compris en matière de cybersécurité.
L’alerte doit porter sur des faits qui se sont produits ou pour lesquels il existe une forte probabilité qu'ils se produisent.
Si votre signalement porte également sur un autre type de manquement prévu par le décret du 3 octobre 2022, la CNIL pourra transmettre le signalement au Défenseur des droits ou se mettre en relation avec l’organisme externe compétent pour celui-ci.
Par exemple, un signalement relatif à un manquement au droit de la consommation sera transmis à la DGCCRF.
Pour les cas en lien avec une situation strictement individuelle, même s’il est possible d’alerter la CNIL pour obtenir la résolution d’une situation personnelle, il apparaît plus adapté de saisir la CNIL d’une plainte.
Par ailleurs, la résolution de certaines difficultés rencontrées nécessite la communication au mis en cause, et éventuellement à d’autres personnes ou organismes, des données permettant de vous identifier. Dans ces circonstances, la CNIL n’est pas en capacité de conserver votre anonymat.
Par exemple, si vous souhaitez que la CNIL intervienne pour vous aider auprès d’un organisme qui n’aurait pas répondu à votre demande d’exercice d'un droit d’accès, il vous faudra adresser une plainte. Son instruction nécessitera de communiquer votre identité à l’organisme concerné pour que vous obteniez la communication de vos données personnelles.
Ce dispositif de la CNIL est réservé aux personnes physiques qui signalent ou divulguent, sans contrepartie financière directe et de bonne foi, des informations portant sur les données personnelles, et plus particulièrement :
Lorsque les informations n'ont pas été obtenues dans le cadre des activités professionnelles, vous devez en avoir eu personnellement connaissance.
Le lanceur d'alerte n'est pas obligé d'effectuer un signalement interne avant d'effectuer un signalement auprès de la CNIL. Toutefois, lorsqu'une procédure interne de signalement existe au sein même de l'organisme mis en cause, nous vous invitons à l'utiliser si cela ne vous expose pas au risque de faire l'objet de mesures de représailles et en l'absence de risque de destruction de preuves.
Si utiliser la procédure interne vous expose à des risques ou si celle-ci n’existe pas, vous êtes invités à effectuer directement un signalement à la CNIL.
La CNIL vous invite à indiquer clairement votre statut de lanceur d’alerte en nous contactant :
La confidentialité de l'identité des auteurs du signalement, des personnes visées et de tout tiers mentionné dans le signalement est garantie.
Les éléments de nature à identifier le lanceur d'alerte ne peuvent pas être divulgués sans son accord. Ils peuvent cependant être transmis à l'autorité judiciaire, dans certains cas.
Lorsque les personnes chargées du recueil ou du traitement des signalements doivent dénoncer les faits recueillis à l'autorité judiciaire, les éléments de nature à identifier le lanceur d'alerte peuvent également lui être communiqués. Dans ce cas, le lanceur d'alerte en est informé.
Lorsque la procédure de signalement ou de divulgation publique est respectée, les bénéficiaires de la protection ne pourront pas être condamnés à verser des dommages et intérêts pour les dommages causés par ce signalement ou cette divulgation publique.
Le lanceur d'alerte doit avoir eu des motifs raisonnables de croire que cette procédure était nécessaire à la sauvegarde des intérêts menacés.
Lorsque la procédure de signalement ou de divulgation publique est respectée, les bénéficiaires de la protection ne sont pas responsables pénalement.
Cette irresponsabilité s'applique aux infractions éventuellement commises pour obtenir les documents permettant de prouver les informations signalées ou divulguées.
Néanmoins, il ne doit pas y avoir eu infraction pour obtenir les informations proprement dites.
La protection porte sur toute mesures de représailles qui prendraient notamment l'une des formes suivantes :
Il vous appartiendra de vous prévaloir devant le juge de votre qualité de lanceur d’alerte pour demander l’annulation d’une mesure de représailles ou vous défendre dans une procédure civile ou pénale.
La procédure mise en œuvre par la CNIL garantit l’intégrité et la confidentialité des informations recueillies dans le cadre d’une alerte et, plus particulièrement, l’anonymat du lanceur d’alerte.
Dans le cadre du traitement d’une alerte, la CNIL est susceptible de vous demander tout élément qu’elle jugerait nécessaire à l’appréciation de l’exactitude des allégations formulées. Dans les mêmes conditions, la CNIL pourrait vous fournir des conseils confidentiels.
La CNIL peut engager diverses actions lorsqu’un lanceur d’alerte lui adresse un signalement :
Pour obtenir des informations sur le traitement des données effectuées par la CNIL dans le cadre du recueil et du traitement des signalements, vous pouvez consulter le registre des activités de traitements de la CNIL.
Pour toute question sur le statut des lanceurs d'alerte, vous pouvez contacter le Défenseur des droits, en charge de coordonner l’action des autorités externes en matière de signalement de lanceurs d’alerte :
Texte reference
Sélectionné par Virginie GASTINE MENOU
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.