La CNIL a récemment publié un référentiel relatif au traitement de données à caractère personnel destiné à la mise en œuvre d’un dispositif d’alerte professionnelle.

Ce référentiel couvre :

  • les dispositifs d’alerte encadrés par des dispositions législatives ou réglementaires spécifiques telle que la procédure d’alerte issue de la loi dite « SAPIN II » (dispositif d’alerte interne destiné à permettre le recueil des signalements émanant d’employés et relatifs à l’existence de conduites ou de situations contraires au code de conduite de la société) ;
  • les dispositifs d’alerte mis en place à la propre initiative de l’entreprise en vue de sanctionner des comportements jugés incompatibles avec sa charte éthique ou son règlement intérieur.

Le référentiel vise à aider les entreprises à se mettre en conformité avec la réglementation relative à la protection des données à caractère personnel. Il donne ainsi des exemples relatifs aux objectifs pouvant être poursuivis par les alertes, aux bases légales pouvant servir de fondement au traitement, aux données concernées, aux destinataires des informations, à la durée de conservation, à l’information des personnes, aux droits des personnes ainsi qu’à la sécurité du traitement.

Ce nouveau document constitue un outil extrêmement utile pour les entreprises souhaitant sécuriser leur pratique à ce titre, étant précisé que la mise en place de procédures d’alerte respectueuses des droits et obligations des parties peut être un préalable indispensable à la mise en place de procédures disciplinaires.

Me Sophie WATTEL, avocat spécialiste en droit du travail