À la suite des publications de la loi du 21 mars 2022 visant à améliorer la protection des lanceurs d’alerte et du décret du 3 octobre 2022, la CNIL a mis en place son dispositif spécifique pour recueillir et traiter les signalements des lanceurs d’alerte.
En effet, la loi du 21 mars 2022 permet aux lanceurs d’alerte de ne pas avoir à passer obligatoirement par le canal interne de signalement et de pouvoir saisir directement une autorité compétente. Le décret du 3 octobre 2022 a fait de la CNIL et de quarante autres autorités, des autorités compétentes pour recueillir les signalements des lanceurs d’alerte. Cependant, la CNIL encourage les lanceurs d’alerte à effectuer un signalement en interne s’il n’y a pas de risque de destruction des preuves ou de mesures de représailles.
La CNIL explique sur son site internet que les signalements qui lui sont faits doivent concerner un manquement relatif à la réglementation en matière de protection des données personnelles et de cybersécurité. Néanmoins, si un signalement porte sur un autre type de manquement, la CNIL le transmettra au Défenseur des droits ou à un organisme externe compétent.
En outre, il faut que l’alerte porte sur « des faits qui se sont produits ou pour lesquels il existe une forte probabilité qu’ils se produisent ». Il faut également que le lanceur d’alerte soit une personne physique qui signale ou divulgue des informations sans contrepartie financière directe. Ces informations doivent porter sur :
- une violation du droit de l’Union européenne, de la loi Informatique et Libertés ou du règlement général sur la protection des données (RGPD) ;
- un crime ou un délit ;
- une menace ou un préjudice pour l’intérêt général ;
- une violation ou une tentative de dissimulation d’une violation d’un engagement international régulièrement ratifié ou d’un acte unilatéral d’une organisation internationale pris sur le fondement d’un tel engagement.
De plus, si les informations qu’il signale n’ont pas été obtenues dans un cadre professionnel, le lanceur d’alerte doit avoir eu personnellement connaissance de ces informations.
Par ailleurs, la CNIL ainsi que les autres autorités compétentes pour recueillir les signalements des lanceurs d’alerte doivent rendre compte annuellement de leurs actions au Défenseur des droits et lui adresser un rapport contenant notamment :
- Le nombre de signalements reçus ;
- Les suites données à ces signalements ;
- Les résultats obtenus, notamment les montants recouvrés lorsqu’un préjudice financier a été constaté ;
- Les délais de traitement des signalements ;
- Les moyens mis en œuvre pour gérer la procédure ;
- Et les difficultés rencontrées.
Source:
https://www.cnil.fr/fr/lanceurs-dalerte-adresser-une-alerte-la-cnil
