Les sujets d’une alerte à la CNIL
Les signalements des lanceurs d’alerte à la CNIL doivent porter sur une violation des règles de protection des données personnelles (RGPD, loi Informatique et Libertés, etc.), y compris en termes de cybersécurité. Il est essentiel que l’alerte concerne des faits avérés ou susceptibles de se produire. Si votre signalement concerne également d’autres infractions prévues par le décret du 3 octobre 2022, la CNIL pourra le transmettre au Défenseur des droits ou à l’organisme compétent.
Choisir entre plainte et alerte auprès de la CNIL
Pour les situations strictement individuelles, il est préférable de déposer une plainte auprès de la CNIL plutôt que de faire une alerte. Certaines difficultés nécessitent la communication de vos données personnelles à l’organisme mis en cause, ce qui rend impossible le maintien de votre anonymat. Par exemple, si vous souhaitez l’intervention de la CNIL pour résoudre un différend avec un organisme qui n’a pas donné suite à votre demande d’accès à vos données, vous devrez déposer une plainte et révéler votre identité.
Êtes-vous un lanceur d’alerte ?
La CNIL prévoit une protection réservée aux personnes physiques qui signalent ou divulguent, de manière désintéressée et de bonne foi, des informations concernant les données personnelles. Sont notamment concernées : les violations du droit de l’Union européenne, de la loi Informatique et Libertés ou du RGPD, les crimes, les délits, les menaces ou préjudices pour l’intérêt général, ainsi que les violations ou tentatives de dissimulation d’une violation d’engagements internationaux. Les informations ne doivent pas avoir été obtenues dans le cadre d’une activité professionnelle et vous devez avoir une connaissance personnelle des faits.
La procédure de signalement à la CNIL
Le lanceur d’alerte n’est pas tenu de faire un signalement interne avant de s’adresser à la CNIL. Cependant, si une procédure interne existe au sein de l’organisme concerné et qu’elle ne comporte aucun risque de représailles ou de destruction de preuves, il est recommandé de l’utiliser. Dans le cas contraire, vous êtes invités à faire directement un signalement à la CNIL.
Comment effectuer un signalement à la CNIL ?
Il est important de bien indiquer votre statut de lanceur d’alerte lorsque vous contactez la CNIL. Vous pouvez le faire par voie postale, grâce au téléservice proposé ou par téléphone. Veuillez noter que les communications téléphoniques ne sont pas enregistrées.
La protection du lanceur d’alerte
Garantie de confidentialité de l’identité
La CNIL garantit la confidentialité de l’identité du lanceur d’alerte, des personnes mentionnées dans le signalement et des tiers impliqués, sauf accord contraire. Les informations permettant d’identifier le lanceur d’alerte peuvent être transmises à l’autorité judiciaire dans certains cas. Si les personnes responsables du traitement des signalements doivent dénoncer les faits à l’autorité judiciaire, elles peuvent également communiquer les éléments d’identification au lanceur d’alerte, qui en sera informé.
Irresponsabilité civile
Lorsque la procédure de signalement ou de divulgation publique est respectée, les personnes bénéficient d’une protection contre les dommages et intérêts liés à ce signalement ou cette divulgation publique. Le lanceur d’alerte doit avoir des raisons valables de croire que cette procédure était nécessaire pour protéger les intérêts en jeu.
Irresponsabilité pénale
Lorsque la procédure de signalement ou de divulgation publique est respectée, les lanceurs d’alerte ne peuvent pas être tenus pénalement responsables. Cette irresponsabilité s’applique aux infractions éventuellement commises pour obtenir les documents permettant de prouver les informations signalées ou divulguées. Cependant, il ne doit pas y avoir d’infraction pour obtenir les informations elles-mêmes.
Protection contre les mesures de représailles
La protection concerne toutes les mesures de représailles susceptibles d’être prises, notamment la suspension, la mise à pied, le licenciement, la discrimination, etc. Vous devrez prouver votre statut de lanceur d’alerte devant un juge pour demander l’annulation de mesures de représailles ou vous défendre dans une procédure civile ou pénale.
Les suites du signalement
La CNIL garantit l’intégrité et la confidentialité des informations recueillies lors d’une alerte, en préservant l’anonymat du lanceur d’alerte. Selon les circonstances, la CNIL peut clôturer un signalement s’il est devenu sans objet, si les allégations sont inexactes ou sans fondement, ou si elles n’apportent pas d’informations significatives. Dans certains cas, la CNIL peut engager des contrôles ou prononcer des sanctions. Vous pouvez consulter le registre des activités de traitements de la CNIL pour obtenir plus d’informations sur le traitement des données liées aux signalements.
Pour toute question sur le statut des lanceurs d’alerte, vous pouvez contacter le Défenseur des droits, en charge de coordonner l’action des autorités externes en matière de signalement de lanceurs d’alerte.
