Newsletter

» Newsletter EQS «

Chaque mois, nous compilons les dernières publications web sur les sujets dédiés à la Compliance et aux Relations Investisseurs.
    Retour à l'aperçu

    Dispositif d’alerte interne & RGPD : comment traiter les données personnelles

    La confidentialité est un enjeu complexe dans un monde digital où nous sommes suivis en permanence. Le big data est devenu l’or du XXIème siècle. L’Europe résiste encore en se dotant d’un arsenal juridique pour protéger ses citoyens. Ainsi le Règlement Général sur la Protection des Données (RGPD) impose le respect des données personnelles notamment au sein des dispositifs d’alertes professionnelles issus de la loi Sapin 2. Découvrez l’essentiel des obligations incombant aux entreprises pour assurer un traitement légal et optimal des données collectées.

    Quel que soit le dispositif d’alerte professionnelle mis en place dans l’entreprise, vous recueillez des informations nominatives soumises au RGPD. La Commission Nationale Informatique et Libertés (CNIL) a élaboré un référentiel spécifique sur cette question. La finalité du traitement des données personnelles doit correspondre à l’une des situations prévues par la loi Sapin 2 telles que la dénonciation d’un délit, la violation d’une obligation légale ou un manquement au code de conduite de l’organisme.

    Quelles sont les données personnelles concernées ?

    L’entreprise doit veiller à recueillir exclusivement les données nécessaires à une gestion efficace des alertes professionnelles :

    • identité du lanceur d’alerte (sauf pour les dispositifs d’alerte professionnelle offrant l’anonymat) ;
    • identité des personnes intervenant dans le dossier d’alerte ;
    • identité des personnes impliquées dans les faits évoqués ;

    Les faits, les éléments recueillis, les conclusions de l’enquête et les sanctions éventuelles peuvent également être soumis au RGPD. C’est par conséquent l’ensemble de la procédure d’alerte qu’il faut examiner à l’aune de cette réglementation.

    Bien évidemment, tout traitement de données sensibles est en principe interdit. Il s’agit des informations relatives aux orientations politiques, religieuses, sexuelles ainsi qu’à l’origine ethnique d’une personne ou à son passé judiciaire. La collecte de telles données peut être autorisée exceptionnellement notamment pour préparer une action en justice.

    New call-to-action

    Quels sont les destinataires des données personnelles collectées ?

    Dans ce cas également, le minimum nécessaire s’impose. L’entreprise doit veiller à tenir une documentation des accès aux données personnelles. En interne, seules les personnes habilitées à traiter les alertes professionnelles sont concernées. Les canaux classiques d’alerte comme les emails ou le téléphone offrent d’ailleurs peu de sécurité en matière de confidentialité.

    En externe, l’entreprise doit veiller à ce que ses prestataires, comme les plateformes digitales d’alerte, offrent des accès limités et sécurisés aux données personnelles.

    Les données recueillies peuvent être diffusées pour procéder à la vérification des faits. Toutefois, toute information permettant l’identification du lanceur d’alerte n’est possible qu’avec son accord préalable. Quand à l’auteur des violations mentionnées dans l’alerte, son identification ne peut être diffusée qu’après avoir vérifié la véracité des accusations portées. Bien évidemment, ces restrictions ne s’appliquent pas aux affaires portées devant les autorités judiciaires.

    Combien de temps conserver les données personnelles ?

    Si le dispositif d’alerte permet d’anonymiser les informations, la durée de conservation est illimitée et permet d’effectuer des statistiques efficaces.

    Les informations relatives à une alerte classée sans suite doivent être détruites ou archivées après anonymisation dans les 2 mois suivant la clôture du dossier.

    Si une procédure est engagée, la conservation des données s’étend jusqu’à l’extinction de toute voie de recours.

    Comment respecter le droit à l’information ?

    Comme tout traitement de données personnelles, le dispositif d’alerte professionnelle doit être précédé d’une information claire et précise destinée à chaque personne concernée. En toute transparence, l’entreprise doit informer sur la nature et la finalité de la collecte et du traitement. Elle informe également sur les droits des personnes (droit d’accès, de rectification et d’opposition) et sur les sanctions possibles en cas d’abus ou de détournement du système d’alerte.

    A retenir :

    • Face à la prise de conscience de l’importance des données personnelles, le législateur a protégé les citoyens par des dispositions contraignantes comme le RGPD.
    • Les entreprises doivent donc assurer un traitement transparent et sécurisé des données personnelles recueillies dans le cadre des alertes professionnelles prévues par la loi Sapin 2.
    • Parmi les dispositifs d’alertes professionnelles, peu sont conformes au RGPD. Une plateforme digitale d’alerte permet d’assurer la confidentialité des données conformément à la loi Sapin 2 et au RGPD.

    Si cet article vous a plu, nous vous invitons à télécharger notre livre blanc sur les dispositifs d’alertes et à découvrir notre plateforme digitale d’alertes professionnelles conforme à la loi Sapin 2.

    CTA Découvret notre plateform d'alertes professionelles

    t
    X
    Released:
    October 16, 2019
    |
    Updated:
    October 16, 2019