Sur quels sujets peut porter une alerte à la CNIL?
Les signalements des lanceurs d’alerte à la CNIL doivent concerner un manquement relevant des règlementations en matière de protection des données personnelles (RGPD, loi Informatique et Libertés, etc.), incluant la cybersécurité. L’alerte doit porter sur des faits qui se sont produits ou qui ont une forte probabilité de se produire. Si votre signalement concerne également un autre type de manquement prévu par le décret du 3 octobre 2022, la CNIL pourra le transmettre au Défenseur des droits ou entrer en contact avec l’organisme compétent externe.
Comment choisir entre plainte et alerte auprès de la CNIL?
Dans les cas liés à une situation strictement individuelle, il est plus approprié de saisir la CNIL d’une plainte plutôt que d’une alerte, bien qu’il soit possible d’alerter la CNIL pour résoudre une situation personnelle. De plus, certaines difficultés nécessitent la communication des données permettant de vous identifier, que ce soit au mis en cause ou à d’autres personnes ou organismes. Dans ces situations, la CNIL ne peut pas garantir votre anonymat.
Êtes-vous un lanceur d’alerte?
Selon la législation en vigueur, ce dispositif de la CNIL est réservé aux personnes physiques identifiées qui signalent ou divulguent, sans contrepartie financière directe et de bonne foi, des informations concernant les données personnelles. Cela inclut notamment :
- Une violation du droit de l’Union européenne, de la loi Informatique et Libertés ou du règlement général sur la protection des données (RGPD).
- Un crime.
- Un délit.
- Une menace ou un préjudice pour l’intérêt général.
- Une autre violation ou une tentative de dissimulation d’une violation : d’un engagement international régulièrement ratifié ou approuvé par la France, ou d’un acte unilatéral d’une organisation internationale fondé sur un tel engagement.
Les informations ne doivent pas avoir été obtenues dans le cadre des activités professionnelles et vous devez en avoir personnellement connaissance.
Le lanceur doit-il respecter une procédure spécifique avant de saisir la CNIL?
Il n’est pas obligatoire pour le lanceur d’alerte d’effectuer un signalement interne avant de saisir la CNIL. Cependant, si une procédure interne de signalement existe au sein de l’organisme concerné et que cela ne vous expose pas à des représailles ou à la destruction de preuves, il est recommandé de l’utiliser. Dans le cas contraire, vous êtes invités à effectuer directement un signalement à la CNIL.
Comment faire une alerte à la CNIL?
Il est recommandé d’indiquer clairement votre statut de lanceur d’alerte lorsque vous contactez la CNIL par voie postale, électronique ou téléphonique. Voici les coordonnées pour contacter la CNIL :
- Adresse postale : 3 place de Fontenoy, TSA 80715, 75334 PARIS CEDEX 07.
- Voie électronique : utilisez le téléservice proposé.
- Téléphone : 01 53 73 22 22 (les communications ne sont pas enregistrées).
La protection du lanceur d’alerte
Garantie de confidentialité de l’identité
La CNIL garantit la confidentialité de l’identité des auteurs du signalement, des personnes visées et de tout tiers mentionné dans le signalement. Les éléments permettant d’identifier le lanceur d’alerte ne peuvent pas être divulgués sans son accord, sauf dans certains cas où ils peuvent être transmis à l’autorité judiciaire.
Irresponsabilité civile
Lorsque la procédure de signalement ou de divulgation publique est respectée, les bénéficiaires de la protection ne peuvent pas être condamnés à verser des dommages et intérêts pour les dommages causés par ce signalement ou cette divulgation publique. Le lanceur d’alerte doit avoir eu des motifs raisonnables de croire que cette procédure était nécessaire pour sauvegarder les intérêts menacés.
Irresponsabilité pénale
Lorsque la procédure de signalement ou de divulgation publique est respectée, les bénéficiaires de la protection ne sont pas pénalement responsables. Cela s’applique également aux infractions éventuellement commises pour obtenir les documents permettant de prouver les informations signalées ou divulguées, à condition qu’il n’y ait pas eu d’infraction pour obtenir ces informations.
Protection contre les mesures de représailles
La protection offerte aux lanceurs d’alerte concerne toutes les mesures de représailles, notamment :
- Suspension, mise à pied, licenciement.
- Rétrogradation ou refus de promotion.
- Transfert de fonctions, changement de lieu de travail, réduction de salaire.
- Suspension de la formation.
- Évaluation de performance négative.
- Mesures disciplinaires.
- Discrimination.
- Non-renouvellement d’un contrat de travail à durée déterminée ou d’un contrat de travail temporaire.
Il vous revient de faire valoir votre qualité de lanceur d’alerte devant le juge pour demander l’annulation des mesures de représailles ou vous défendre dans une procédure civile ou pénale.
Les suites du signalement
La CNIL garantit l’intégrité et la confidentialité des informations recueillies lors d’une alerte, notamment l’anonymat du lanceur d’alerte. Suite à un signalement, la CNIL peut décider de clôturer le dossier si les allégations sont sans objet, inexactes, infondées, manifestement mineures ou ne contiennent aucune nouvelle information significative. Elle peut également effectuer des contrôles ou prononcer des sanctions si les faits signalés le justifient. Pour obtenir des informations sur le traitement des données effectué par la CNIL dans le cadre des signalements, vous pouvez consulter le registre des activités de traitements de la CNIL.
Si vous avez des questions sur le statut des lanceurs d’alerte, vous pouvez contacter le Défenseur des droits, en charge de coordonner l’action des autorités externes en matière de signalement de lanceurs d’alerte. Voici les coordonnées :
- Téléphone : 09 69 39 00 00.
- Voie électronique.
- Courrier gratuit sans affranchissement : Défenseur des droits – Libre réponse 71120 – 75342 Paris CEDEX 07.
