Le contexte
La transposition en France de la Directive européenne sur la protection des lanceurs d’alerte par la loi dite « Waserman », ainsi que par son décret d’application du 3 octobre 2022, modifient de façon importante des règles en la matière, telles que :
- l’élargissement de la définition des alertes,
- l’élargissement des catégories des personnes susceptibles d’émettre un alerte ou de bénéficier d’un régime de protection en lien avec celle-ci,
- la création des nouvelles règles procédurales.
Si les changements de fond concernent principalement des alertes de droit commun, dites « alertes professionnelles internes », le nouveau régime concerne également les alertes dites « sectorielles », relevant des règlementations spécifiques.
En effet, les textes prévoient un « socle commun » de garanties minimales au profit de l’ensemble des lanceurs d’alertes, quel que soit le régime (général ou spécifique) dont relèverait le signalement.
Les modifications du référentiel de la CNIL
Le nouveau référentiel de la CNIL conserve la même logique et couvre l’ensemble des dispositifs d’alerte, en se limitant toutefois aux seuls aspects liés à la protection des données.
Les principales modifications par rapport à la version précédente concernent :
- une simplification de la partie « portée du référentiel »,
- l’ajout de nouvelles finalités de traitement des données collectées dans le cadre du traitement d’une alerte,
- l’introduction de l’obligation d’informer le lanceur d’alerte non seulement de la réception de celles-ci, mais également des suites réservées à sa démarche,
- de nouveaux développements sur la possibilité d’externaliser la gestion des alertes internes vers des organismes tiers,
- de nouvelles précisions relatives aux durées de conservation des données,
- la mise à jour du tableau des mesures de sécurité à mettre en place suite à la publication d’une nouvelle version du guide de sécurité de la CNIL en avril de cette année.
Une FAQ accompagne la publication de ce référentiel.