Lanceurs d’alerte : précisions sur le dispositif de signalement de la CNIL
Avec l’adoption de la loi Waserman et de son décret d’application les 21 mars et 3 octobre 2022, un nouveau dispositif est venu renforcer la protection des lanceurs d’alerte, encadrée jusqu’alors par la loi Sapin 2 du 9 décembre 2016. Née de la transposition de la directive européenne 2019/1937, la loi permet d’effectuer une alerte externe sans passer par une procédure interne aux entreprises, laissant le choix aux lanceurs d’alerte d’effectuer leur signalement directement auprès des autorités compétentes désignées par le décret1.
Impliquée sur la problématique des dispositifs d’alerte professionnelle depuis plusieurs années2, la CNIL est l’une des premières autorités3 à avoir mis en place, dès le mois de novembre, une procédure de recueil et de traitement des signalements accompagné d’une notice d’information4. Le public est désormais informé que l’autorité peut être saisie par n’importe quel lanceur d’alerte dont le signalement relève de son spectre de compétence, c’està- dire lorsqu’il porte sur un « manquement relevant de la réglementation en matière de protection des données personnelles (RGPD, loi Informatique et Libertés, etc.), y compris en matière de cybersécurité ». Si le signalement porte sur un autre type de manquement prévu par le décret, la CNIL pourra transmettre le signalement au Défenseur des droits ou se mettre en relation avec l’organisme externe compétent « dans des conditions permettant de garantir l’intégralité et la confidentialité des informations »5. On peut notamment penser à un transfert de l’alerte à l’ANSSI lorsque l’alerte vise des opérateurs de services essentiels. En outre, le dispositif d’alerte auprès de la CNIL est soumis à une double condition d’éligibilité : i) répondre à la définition de lanceur d’alerte prévue par la loi à savoir toute personne physique qui signale ou divulgue, sans contrepartie financière directe et de bonne foi, des informations portant sur les données personnelles et ii) lorsque les informations n’ont pas été obtenues dans le cadre de ses activités professionnelles, le lanceur d’alerte doit en avoir eu personnellement connaissance.
Un dispositif complémentaire
Le dispositif d’alerte externe prévu par la loi Waserman ne remplace pas le mécanisme de plainte de la CNIL prévu par l’article 77 du RGPD. Il s’agit d’une procédure complémentaire laissant la possibilité aux personnes concernées de choisir le recours le plus adapté à son cas. Il sera constaté que la CNIL prend position sur la nécessité et l’opportunité du recours à son canal de signalement. Les personnes physiques sont en effet invitées à privilégier la plainte pour résoudre une situation « strictement personnelle » et nécessitant de communiquer son identité à la personne mise en cause (par exemple pour permettre l’exercice du droit d’accès6). À l’inverse, la CNIL recommande la procédure d’alerte pour les personnes soucieuses de préserver leur anonymat. Par ailleurs, la CNIL encourage les lanceurs d’alerte à recourir à la voie interne préalablement à sa saisine sauf en cas de risques de représailles, de destructions avérées ou potentielles de preuves, ou d’absence totale de procédure interne. Cette recommandation peut paraître étonnante dans la mesure où la sollicitation préalable de la procédure interne, impérative avec la loi Sapin II, a justement été supprimée avec la mise en vigueur de la loi Waserman. Le choix est néanmoins compréhensible tant en raison du régime protecteur offert aux lanceurs d’alerte que des obligations incombant aux autorités pour les traiter. La CNIL souhaite ainsi éviter un recours excessif à ce dispositif alors qu’il ne serait pas en toutes occasions justifié.
Un dispositif à perfectionner
Si la CNIL rappelle consciencieusement les conditions et modalités de signalement, quelques interrogations subsistent. On s’étonne notamment de l’oubli de certains sujets majeurs tels que la durée de la procédure et de conservation des données issues d’un signalement pourtant prévues par la loi et le référentiel de la CNIL7. D’autre part, la CNIL n’a pas encore mis en place de formulaire de signalement dédié sur sa plateforme. Le lanceur d’alerte est donc redirigé vers le formulaire de plainte traditionnel de la CNIL au risque de le placer dans une certaine incertitude sur les conditions de traitement de son signalement et les garanties offertes dans le cadre de cette procédure. Le temps permettra sûrement de corriger ces oublis et déterminera également si la procédure mise en place par la loi Waserman constitue un outil efficace pour contribuer au respect du RPGD. Le rapport d’activité adressé au Défenseur des Droits en fin d’année devrait répondre à cette question.