Les faits : Snowden, Mediator, LuxLeaks, nombreuses sont les affaires liées aux révélations de lanceurs d’alerte qui ponctuent l’actualité. Face à une législation éparse, la loi « Sapin II » du 9 décembre 2016 instaure un socle commun aux différents mécanismes d’alerte. La protection des données personnelles recueillies dans ce cadre nécessite d’articuler ces dispositifs avec les dispositions du RGPD.

Aux termes de la loi « Sapin II », le lanceur d’alerte s’est vu offrir un véritable régime protecteur. Toute personne qui « révèle ou signale de manière désintéressée et de bonne foi » une pratique illégale ou toute menace ou préjudice grave pour l’intérêt général, dont elle aurait « personnellement eu connaissance », se voit reconnaître un statut lui conférant une irresponsabilité pénale et l’interdiction de toute représaille professionnelle. Ce statut est toutefois conditionné au respect d’une procédure d’alerte graduée et responsable, qui impose au salarié d’avertir en premier lieu son supérieur hiérarchique, son employeur ou un référent désigné à cet effet. La loi impose dans ce cadre aux entreprises de plus de 50 salariés, depuis l’entrée en vigueur de son décret le 1er janvier 2018, la mise en œuvre d’un dispositif de recueil de signalement interne efficace et sécurisé, garantissant une stricte confidentialité de l’identité de l’auteur, des personnes et des faits visés par l’alerte (hotline ou boîte mail dédiée, formulaire en ligne etc.) et la désignation d’un responsable du traitement de l’alerte. Ces dispositions ne sont pas sans rappeler celles prévues par le RGPD. Et pour cause, le recueil et la gestion de ces signalements impliquent nécessairement la collecte et le traitement de données personnelles, dont les outils et principes protecteurs doivent être intégrés dès la mise en place du dispositif. À titre d’exemple, si par exception le consentement de la personne faisant l’objet de l’alerte n’a pas à être recueilli, le traitement ayant un fondement légal, ce dernier doit néanmoins respecter les principes de proportionnalité et de pertinence des données collectées dont la durée de conservation doit être limitée. Plus encore, il convient de souligner que le dispositif d’alerte mis en place doit répondre aux nouvelles exigences du RGPD en matière de sécurité et ce afin de prévenir tout détournement ou utilisation frauduleuse des données recueillies lors du signalement. Le dispositif d’alerte, qui par définition traite de données relatives à des faits susceptibles de revêtir une qualification pénale, doit ainsi être soumis à une analyse d’impact telle que prévue à l’article 35 du RGPD, à savoir une évaluation des risques encourus pour le droit des personnes concernées et les mesures envisagées pour y faire face. Enfin, tout comme l’exige le RGPD, la loi « Sapin II » impose également des opérations de sensibilisation des acteurs en interne et une documentation précise (cartographie des risques et des traitements, processus de sécurisation) démontrant les mesures organisationnelles mises en œuvre pour assurer la conformité, notamment du dispositif d’alerte. 

Ce qu’il faut retenir : Une approche combinée de la Loi « Sapin II » et des exigences du RGPD est indispensable pour la mise en œuvre du dispositif d’alerte. La convergence de ces textes, s’inspirant d’une méthode commune et ayant recours aux mêmes outils, permet d’assurer une meilleure couverture des risques et une rationalisation des coûts non négligeables.